Skip to main content
Registrieren
Springer Professional
SUCHE
MENÜ 1 2 3 4
main-content
nach oben

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

Erschienen in:
Einleitung und „Checkliste“ Kapitel lesen Erstes Kapitel lesen

2018 | OriginalPaper | Buchkapitel

3. Anforderungen an die Datenschutzorganisation

verfasst von: Paul Voigt, Axel von dem Bussche

Erschienen in: EU-Datenschutz-Grundverordnung (DSGVO)

Verlag: Springer Berlin Heidelberg

Einloggen, um Zugang zu erhalten
share
TEILEN

Zusammenfassung

DatenschutzorganisationDie DSGVO stellt neue Anforderungen an die Datenschutzorganisation und bildet die bereits nach der EG-Datenschutzrichtlinie bestehenden Verpflichtungen weiter fort. Um die Datenverarbeitungstätigkeiten in Einklang mit den Anforderungen der Verordnung zu bringen werden Unternehmen einige Anstrengungen unternehmen müssen. Obwohl die Verantwortlichen noch immer vorrangig für die Einhaltung angemessener Datenschutzstandards verantwortlich sind, erlegt die DSGVO erstmalig auch den Auftragsverarbeitern eigene, bußgeldbewährte Verpflichtungen auf. Dieses Kapitel stellt die verschiedenen Anforderungen an die Datenschutzorganisation nach der DSGVO vor. Darüber hinaus wird auch die Verteilung der Verantwortlichkeiten zwischen Verantwortlichen und Auftragsverarbeitern, präventive Datenschutzkonzepte sowie der risikobasierte Ansatz der Verordnung behandelt.
Vorheriges Kapitel Anwendungsbereich der DSGVO
Nächstes Kapitel Materielle Anforderungen
Fußnoten
1
Siehe auch Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 8
 
2
Schantz, in: Wolff/Brink, BeckOK, Art. 5 DSGVO (2017), Rn. 38; Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 11–12, 19
 
3
ErwGr. 78 DSGVO; Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 3–4
 
4
ErwGr. 82 DSGVO
 
5
Herbst, in: Kühling/Buchner, DSGVO, Art. 5 (2017), Rn. 80
 
6
Eine vergleichbare Pflicht zum Führen einer Verfahrensübersicht war im deutschen Datenschutzrecht bereits in §§ 4 g Abs. 2, 4e Satz 1 BDSG-alt vorgesehen.
 
7
ErwGr. 74 DSGVO
 
8
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 44
 
9
Wybitul, CCZ 2016, 194, 198
 
10
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 30
 
11
Siehe auch Egle/Zeller, in: v.d.Bussche/Voigt Konzerndatenschutz, Datenschutzmanagement (2014), Rn. 5
 
12
Siehe auch Egle/Zeller, in: v.d.Bussche/Voigt, Konzerndatenschutz, Datenschutzmanagement (2014), Rn. 4
 
13
Wichtermann, ZD 2016, 421, 422
 
14
ErwGr. 79 DSGVO
 
15
Dovas, ZD 2016, 512, 514
 
16
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
 
17
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
 
18
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
 
19
Dovas, ZD 2016, 512, 515
 
20
Plath, in: Plath, BDSG/DSGVO, Art. 26 DSGVO (2016), Rn. 5
 
21
ErwGr. 92 DSGVO
 
22
Martini, in: Paal/Pauly, DSGVO, Art. 26 (2017), Rn. 24–25
 
23
ErwGr. 58 DSGVO
 
24
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25
 
25
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25
 
26
Siehe auch EuGH, NJW 1989, 3080, 3082; Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25
 
27
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 45
 
28
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 17
 
29
Für weitere Einzelheiten siehe Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 10 f.
 
30
Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 194
 
31
Siehe auch Ernestus, in: Simitis, BDSG, § 9 (2014), Rn. 20
 
32
Beispiele aus ErwGr. 78 DSGVO; siehe auch Ernestus, in: Simitis, BDSG, § 9 (2014),Rn. 22, 155
 
33
Siehe auch Völkel, DSRITB 2015, 35, 46 ff.
 
34
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 34
 
35
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 35
 
36
Grages, in: Plath, BDSG/DSGVO, Art. 32 DSGVO (2016), Rn. 6
 
37
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 40
 
38
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 41
 
39
ErwGr. 87 DSGVO
 
40
Grages, in: Plath, BDSG/DSGVO, Art. 32 DSGVO (2016), Rn. 7
 
41
ErwGr. 76 DSGVO
 
42
ErwGr. 75 DSGVO
 
43
Thoma, ZD 2013, 578, 579
 
44
Thoma, ZD 2013, 578, 579
 
45
Veil, ZD 2015, 347, 348
 
46
Thoma, ZD 2013, 578, 579
 
47
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 60
 
48
Voigt, MMR 2016, 429, 430
 
50
Für weitere Einzelheiten siehe Voigt/Gehrmann, ZD 2016, 355, 355 ff.
 
51
ErwGr. 49, 57 NIS-Richtlinie
 
52
Art. 4 Nr. 1 NIS-Richtlinie
 
53
Art. 5 in Verbindung mit Annex II NIS-Richtlinie
 
54
Art. 4 Nr. 5, 6, 17, 18, 19 in Verbindung mit Annex III NIS-Richtlinie
 
55
ErwGr. 65 NIS-Richtlinie
 
56
Kipker, ZD-Aktuell 2016, 05363
 
57
ErwGr. 82 DSGVO
 
58
Marschall, in: Roßnagel, DSGVO, Dokumentation (2017), Rn. 161; ErwGr. 39 DSGVO
 
59
Art. 30 Abs. 4 DSGVO; ErwGr. 82 DSGVO
 
60
Marschall, in: Roßnagel, DSGVO, Dokumentation (2017), Rn. 161; Hornung, ZD 2012, 99, 101
 
61
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 4
 
62
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 4
 
63
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 7
 
64
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 7
 
65
Bayrisches Landesamt für Datenschutzaufsicht, Verzeichnis (2016a), S. 2
 
66
Verfügbar ausschließlich auf französischer Sprache und abrufbar unter https://​www.​cnil.​fr/​fr/​cartographier-vos-traitements-de-donnees-personnelles, zuletzt aufgerufen 12. Juli 2017
 
67
ErwGr. 13 DSGVO
 
68
Gemäß ErwGr. 13 DSGVO, v. a. in Verbindung mit der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).
 
69
Art. 2 des Anhangs der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).
 
70
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 32
 
71
Spoerr, in: Wolff/Brink, BeckOK, Art. 30 DSGVO (2016), Rn. 21
 
72
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 33 f.
 
73
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 35
 
74
So auch die Datenschutzkonferenz, Kurzpapier Nr. 1 (2017), S. 1
 
75
Dieses Vorgehen wird von der belgischen Datenschutzaufsichtsbehörde als zulässig erachtet. https://​www.​privacycommissio​n.​be/​sites/​privacycommissio​n/​files/​documents/​recommandation_​06_​2017_​0.​pdf, zuletzt aufgerufen 12. Juli 2017 (S. 7, Empfehlung in französischer Sprache verfügbar)
 
76
Gemäß ErwGr. 95 DSGVO soll der Auftragsverarbeiter den Verantwortlichen, soweit erforderlich und auf dessen Anfrage hin, bei der Gewährleistung der Einhaltung der sich aus der Datenschutz-Folgenabschätzung sowie der vorherigen Konsultation der Aufsichtsbehörden ergebenden Auflagen unterstützen. Siehe auch Art. 28 Abs. 3 Satz 2 lit. f DSGVO, gemäß dem der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter vorsehen soll, dass der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Verpflichtungen aus Art. 35, 36 DSGVO unterstützt.
 
77
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 67
 
78
ErwGr. 90 DSGVO
 
79
ErwGr. 84 DSGVO
 
80
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 35 DSGVO (2016), Rn. 3
 
81
ErwGr. 92 DSGVO
 
82
Art. 35 Abs. 1 DSGVO
 
83
ErwGr. 89 DSGVO
 
84
ErwGr. 91 DSGVO
 
85
Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 31
 
86
ErwGr. 91 DSGVO
 
87
ErwGr. 91 DSGVO
 
88
Art.-29-Datenschutzgruppe, WP 248 (2017), 10
 
89
Art.-29-Datenschutzgruppe, WP 248 (2017), 9 f.
 
90
Die folgenden Kriterien wurden entnommen aus Art.-29-Datenschutzgruppe, WP 248 (2017), 7 ff.
 
91
Siehe Art. 35 Abs. 7 lit. d DSGVO
 
92
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 35 DSGVO (2016), Rn. 17
 
93
Art. 35 Abs. 8, 9 DSGVO
 
94
Siehe auch Art. 39 Abs. 1 lit. c DSGVO zum Datenschutzbeauftragten
 
95
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16
 
96
Für weitere Einzelheiten siehe Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16 ff.
 
97
Siehe Art. 35 Abs. 10, 6 Abs. 1 lits. c, e DSGVO
 
98
ErwGr. 91 DSGVO
 
99
Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 33
 
100
Siehe der Wortlaut von Art. 35 Abs. 4 „erstellt“ und Abs. 5 „kann […] erstellen“.
 
101
ErwGr. 15 DSGVO
 
102
Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 36; Hansen, in: Wolff/Brink, BeckOK, Art. 35 DSGVO (2016), Rn. 18
 
103
Es wird teilweise argumentiert, dass eine Konsultation in Anbetracht von ErwGr 94 DSGVO nur erforderlich ist, falls der Verantwortliche zu der Einschätzung kommt, dass er dem hohen Risiko nicht durch geeignete Maßnahmen im Hinblick auf verfügbare Technologien und Umsetzungskosten angemessen begegnen kann. Siehe: Hansen, in: Wolff/Brink, BeckOK, Art. 36 DSGVO (2016), Rn. 3; Paal, in: Paal/Pauly, DSGVO, Art. 36 (2017), Rn. 5
 
104
Für weitere Einzelheiten siehe v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 1
 
105
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 2
 
106
Art. 36 Abs. 2 Satz 3 DSGVO
 
107
ErwGr. 94 DSGVO
 
108
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 5
 
109
Hansen, in: Wolff/Brink, BeckOK, Art. 36 DSGVO (2016), Rn. 20; Paal, in: Paal/Pauly, DSGVO, Art. 36 (2017), Rn. 20
 
110
Allerdings sahen einige EU-Mitgliedstaaten bisher die Möglichkeit der freiwilligen Benennung eines Datenschutzbeauftragten vor, wie bspw. Polen, Frankreich und Schweden.
 
111
Hoeren, ZD 2012, 355, 355
 
112
Zumindest Deutschland hat dies, wie angesichts der bisherigen deutschen Rechtslage abzusehen war, auch getan. Einzelheiten dazu im Abschn. 3.6.1.2.
 
113
Marschall/Müller, ZD 2016, 415, 416
 
114
Behörden und öffentliche Stellen sind ebenfalls zur Benennung eines Datenschutzbeauftragten verpflichtet, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, wobei mehrere Behörden/öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen können, siehe Art. 37 Abs. 1 lit. a, Abs. 3 DSGVO
 
115
Art. 37 Abs. 7 DSGVO
 
116
Paal, in: Paal/Pauly, DSGVO, Art. 37 (2017), Rn. 17
 
117
ErwGr. 97 DSGVO
 
118
Jaspers/Reif, RdV 2016, 61, 62
 
119
Für Einzelheiten siehe auch Gierschmann, ZD 2016, 51, 52; CIPL, Project Paper (2016), S. 15
 
120
§ 4 f Abs. 1 Sätze 1, 4, 6 BDSG-alt
 
121
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 8, Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 13; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 19
 
122
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 19; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 11; einen kürzeren Zeitraum befürwortend Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 21
 
123
Siehe auch Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 13
 
124
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 8
 
125
Siehe auch Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 21; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 4 f (2015), Rn. 12
 
127
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Der Datenschutzbeauftrage (2014), Rn. 5; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 28; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 22
 
128
Siehe auch Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 11; Gola/Klug, NJW 2007, 118, 120
 
129
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15
 
130
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 26
 
131
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15
 
132
Marschall/Müller, ZD 2016, 415, 417
 
133
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 8
 
134
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 10; Marschall/Müller, ZD 2016, 415, 417; Jaspers/Reif, RdV 2016, 61, 63
 
136
Für weitere Einzelheiten siehe auch CIPL, Project Paper (2016), S. 2, 6, 19
 
137
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 10
 
138
ErwGr. 97 DSGVO
 
139
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 11; siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 28; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 84; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 20 ff.
 
140
Zustimmend siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 26; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 48; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 82; ablehnend siehe auch Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 19; Schaffland/Wiltfang, in: Schaffland/Wiltfang, BDSG, § 4 f (2016), Rn. 45
 
141
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 26
 
142
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Der Datenschutzbeauftragte (2014), Rn. 10–12
 
143
Art. 35 Abs. 7 Vorschlag der Europäischen Kommission für die DSGVO (KOM(2012) 11 final; 2012/0011 (KOD)).
 
144
Zustimmend siehe Jaspers/Reif, RdV 2016, 61, 63; Paal, in: Paal/Paul, DSGVO, Art. 37 (2017), Rn. 18; Marschall/Müller, ZD 2016, 415, 416
 
145
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 45; Jaspers/Reif, RdV 2016, 61, 65
 
146
ErwGr. 97 DSGVO
 
147
Art. 38 Abs. 3 Satz 3 DSGVO
 
148
Siehe auch CIPL, Project Paper (2016), S. 9
 
149
Paal, in: Paal/Pauly, DSGVO, Art. 38 (2017), Rn. 9
 
150
Marschall/Müller, ZD 2016, 415, 420
 
151
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 6
 
152
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 10
 
153
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 10
 
154
Weidenkaff, in: Palandt, BGB, § 626 (2017), Rn. 38–41
 
155
Deutscher Bundestag (2017), Drucksache 18/11325, 108
 
156
Siehe § 38 Abs. 5 Satz 3 BDSG-alt
 
157
Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 81
 
158
Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 81; Gola/Schomerus, in: Gola/Schomerus, BDSG, § 38 (2015), Rn. 27
 
159
Siehe auch Petri, in: Simitis, BDSG, § 38 (2014), Rn. 74; Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 82
 
160
Siehe auch Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 72
 
161
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15; Schefzig, ZD 2015, 503, 505
 
162
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15
 
163
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 31; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 73; Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15 ff.
 
164
Siehe Abschn. 3.6.4 für weitere Einzelheiten.
 
165
Ausführungen entstammen größtenteils Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16
 
166
CIPL, Project Paper (2016), S. 21
 
167
CIPL, Project Paper (2016), S. 21
 
168
Bspw. nach deutschem Recht, dürften Verantwortliche Schadensersatzforderungen (unter sehr engen Voraussetzungen) gegen den Datenschutzbeauftragten geltend machen können.
 
169
Paal, in: Paal/Pauly, DSGVO, Art. 39 (2017), Rn. 12
 
170
Martini, in: Paal/Pauly, DSGVO, Art. 24 (2017), Rn. 5
 
171
Siehe auch Conrad/Hausen, in: Auer-Reinsdorff/Conrad, Handbuch IT, Telemedien (2016), Rn. 165
 
172
Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, Compliance (2016) Rn. 217
 
173
Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, Compliance (2016) Rn. 217
 
174
Siehe auch Schulz, CR 2012, 204, 204; ErwGr. 78 DSGVO; Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 227
 
175
ErwGr. 78 DSGVO; Wybitul/Draf, BB 2016, 2101, 2104
 
176
Beispiel aus Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 35
 
177
Siehe auch Völkel, DSRITB 2015, 35, 47
 
178
Gierschmann, ZD 2016, 51, 53
 
179
Martini, in: Paal/Pauly, DSGVO, Art. 25 (2017), Rn. 45
 
180
Gierschmann, ZD 2016, 51, 53
 
181
Plath, in: Plath, BDSG/DSGVO, Art. 25 (2016), Rn. 9; siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40
 
182
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40
 
183
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40
 
184
Plath, in: Plath, BDSG/DSGVO, Art. 25 DSGVO (2016), Rn. 9
 
185
Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 231; siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 18a
 
186
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 7
 
187
v.d.Bussche/Zeiter, EDPL 2016, 576, 577
 
188
v.d.Bussche/Zeiter, EDPL 2016, 576, 577; Gierschmann, ZD 2016, 51, 53
 
189
v.d.Bussche/Zeiter, EDPL 2016, 576, 577
 
190
Gierschmann, ZD 2016, 51, 53. Theoretisch war in Deutschland eine solche Pflicht bisher in § 42a BDSG vorgesehen, die jedoch in der Praxis aufgrund ihres eingeschränkten Anwendungsbereichs äußerst selten zur Anwendung kam. Auch bereichsspezifische Meldepflichten im Bereich des Telemediendatenschutzes sind in § 15a TMG und § 93 Abs. 3 TKG vorgesehen, wobei Verstöße gegen die Vorschriften nicht bußgeldbewährt sind.
 
191
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 10
 
192
Vgl. Mit Art. 32 Abs. 1 lit. c DSGVO
 
193
Schreiber, in: Plath, BDSG/DSGVO, Art. 4 DSGVO (2016), Rn. 41
 
194
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 95; Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 16
 
195
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
 
196
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
 
197
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
 
198
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 49
 
199
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 3
 
200
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 12
 
201
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 33; Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 3
 
202
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 18
 
203
v.d.Bussche/Zeiter/Brombach, DB 2016, 1359, 1361; Gierschmann, ZD 2016, 51, 53
 
204
ErwGr. 87 DSGVO
 
205
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 4
 
206
Marschall, DuD 2015, 183, 186; Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 31
 
207
ErwGr. 85 DSGVO
 
208
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 22; Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 6
 
209
Siehe den Wortlaut von Art. 33 Abs. 1 DSGVO: „zu einem Risiko […] führt“.
 
210
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 25
 
211
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 7
 
212
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 7
 
213
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 55
 
214
ErwGr. 86 DSGVO; für Einzelheiten siehe Art. 34 Abs. 2 DSGVO in Verbindung mit Art. 33 Abs. 3 DSGVO
 
215
Art. 34 Abs. 4 DSGVO
 
216
Siehe auch Mallmann, in: Simitis, BDSG, § 19 (2014), Rn. 98; Mester, in: Taeger/Gabel, BDSG, § 19 (2013), Rn. 34
 
217
Siehe auch Worms, in: Wolff/Brink, BeckOK, § 19 BDSG (2017), Rn. 93
 
218
Siehe auch Mallmann, in: Simitis, BDSG, § 19 (2014), Rn. 100; Dix, in: Simitis, BDSG, § 34 (2014), Rn. 76; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 19 (2015), Rn. 28
 
219
Siehe auch Plath, in: Plath, BDSG/DSGVO, § 28 BDSG (2016), Rn. 47; Plath, in: Plath, BDSG/DSGVO, Art. 6 DSGVO (2016), Rn. 21
 
220
Art. 4 Nr. 10 DSGVO
 
221
§ 29 Abs. 1 Satz 4 BDSG-neu
 
222
ErwGr. 86 DSGVO
 
223
See Art. 34 Abs. 4 DSGVO und ErwGr. 86 DSGVO
 
224
Grages, in: Plath, BDSG/DSGVO, Art. 34 (2016), Rn. 5
 
225
Kranig/Peintinger, ZD 2014, 3, 3; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 1
 
226
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 1
 
227
Hunton & Williams, The proposed Regulation (2015), S. 36
 
228
v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8
 
229
Bergt, DSRITB 2016, 483, 496
 
230
v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 42 DSGVO (2016), Rn. 5
 
231
Siehe Art. 27 EG-Datenschutzrichtlinie
 
232
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 4
 
233
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 6; siehe auch Wronka, RdV 2014, 93, 94
 
234
Bergt, DSRITB 2016, 483, 485
 
235
Kranig/Peintinger, ZD 2014, 3, 3; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8
 
236
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 5
 
237
v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 10; Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017) Rn. 11
 
238
ErwGr. 99 DSGVO
 
239
Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017), Rn. 18
 
240
Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017), Rn. 18
 
241
Für Regelungen zur Zuständigkeit der Aufsichtsbehörden siehe Art. 51 ff. DSGVO
 
242
Art. 40 Abs. 5 Satz 2 DSGVO
 
243
Art. 40 Abs. 6 DSGVO
 
244
Art. 40 Abs. 7 DSGVO
 
245
Art. 40 Abs. 8 DSGVO
 
246
Art. 41 DSGVO findet keine Anwendung auf Verarbeitungstätigkeiten, die von öffentlichen Behörden und Einrichtungen ausgeführt werden, 41 Abs. 6 DSGVO
 
247
Einige Autoren halten die Akkreditierung für eine Pflicht der Aufsichtsbehörde, siehe Paal, in: Paal/Pauly, DSGVO, Art. 41 (2017), Rn. 5; andere sehen sie als optionales Überwachungsinstrument, siehe Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 15
 
248
Art. 40 Abs. 4 DSGVO
 
249
Für weitere Einzelheiten siehe Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 16
 
250
Art. 41 Abs. 5 DSGVO
 
251
Kranig/Peintinger, ZD 2014, 3, 4; Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 19
 
252
Bergt, DSRITB 2016, 483, 491; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 18
 
253
Bergt, DSRITB 2016, 483, 493
 
254
ErwGr. 100 DSGVO
 
255
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 28; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 42 DSGVO (2016), Rn. 8
 
256
Paal, in: Paal/Pauly, DSGVO, Art. 42 (2017), Rn. 5
 
257
Bergt, DSRITB 2016, 483, 496
 
258
Art. 42 Abs. 4 DSGVO
 
259
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 41
 
260
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 27
 
261
Zudem kann die Europäische Kommission Durchführungsrechtsakte erlassen, die die Voraussetzungen der Zertifizierungsverfahren präzisieren, siehe Art. 43 Abs. 8, 9 DSGVO.
 
262
Art. 42 Abs. 5 DSGVO
 
263
Art. 42 Abs. 7 DSGVO
 
264
Oder, soweit benannt, einer nationale Akkreditierungsstelle, siehe Art. 43 Abs. 1 DSGVO.
 
265
Art. 43 Abs. 4 DSGVO
 
266
Art. 43 Abs. 3, 6 DSGVO. Diese Anforderungen werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht und an den Europäischen Datenschutzausschuss übermittelt.
 
267
Art. 43 Abs. 7 DSGVO
 
268
Art. 43 Abs. 1, 4, 5 DSGVO
 
269
In diese Richtung argumentierend siehe Voigt, CR 2017, 428, 430, dort Fn. 25; Schmid/Kahl, ZD 2017, 54, 56–57; Plath, in: Plath, BDSG/DSGVO, Art. 28 DSGVO (2016), Rn. 3; siehe auch Hullen, in: v.d.Bussche/Voigt, Konzerndatenschutz, Ausblick (2014), Rn. 84; Koós/Englisch, ZD 2014, 276, 284; Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 8–10; Spoerr, in: Wolff/Brink, BeckOK, Art. 28 DSGVO (2016), Rn. 29–32; Bayrisches Landesamt für Datenschutzaufsicht, Auftragsverarbeitung (2016b), S. 1; und ausgehend von der bisherigen deutschen Rechtslage mit ähnlichem Wortlaut: v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Rechtliche Anforderungen (2014), Rn. 73; Weber/Voigt, ZD 2011, 74, 74; Scholz/Lutz, CR 2011, 424, 424–425; ablehnend siehe Härting, ITRB 2016, 137, 138; Hofmann, in: Roßnagel, DSGVO, Auftragsdatenverarbeitung (2017), Rn. 251; Nebel/Richter, ZD 2012, 407, 411; Roßnagel/Richter/Nebel, ZD 2013, 103, 105
 
270
Schmid/Kahl, ZD 2017, 54, 56
 
271
Plath, in. Plath, BDSG/DSGVO, Art. 28 DSGVO (2016), Rn. 8; Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 21; Spoerr, in: Wolff/Brink, BeckOK, Art. 28 DSGVO (2016), Rn. 35
 
272
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 21
 
273
Siehe Art. 28 Abs. 9 DSGVO
 
274
Für Einzelheiten zum sog. „Zehn-Punkte-Katalog“ siehe v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Auftragsdatenverarbeitung (2014), Rn. 52 ff.
 
275
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 39
 
276
Laue/Nink/Kremer, Datenschutzrecht, Verarbeitung durch Dritte (2016), Rn. 18
 
277
Laue/Nink/Kremer, Datenschutzrecht, Verarbeitung durch Dritte (2016), Rn. 18
 
278
Voigt, CR 2017, 428, 430
 
279
Siehe Art. 28 Abs. 6 GDPR; ErwGr. 109 DSGVO. Diese Standardvertragsklauseln dürfen nicht mit denjenigen verwechselt werden, die nach Art. 46 DSGVO als Garantiemaßnahme für internationale Datentransfers dienen können. Siehe Abschn.​ 4.​3.​3 für Einzelheiten zu Letzteren.
 
280
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 56
 
281
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 58
 
282
Siehe Art. 28 Abs. 4 Satz 2 DSGVO
 
Literatur
Art.-29-Datenschutzgruppe (2010a) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. WP 169 (zitiert nach englischem Original)
Art.-29-Datenschutzgruppe (2010b) Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht. WP 173 (zitiert nach englischem Original)
Art.-29-Datenschutzgruppe (2016) Guidelines on Data Protection Officers. WP 243
Art.-29-Datenschutzgruppe (2017) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/279. WP 248
Barlag C (2017) Datenschutz durch Technikgestaltung. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Bergt M (2016) Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutz- Grundverordnung. DSRITB 7:483–500
Brink S (2017) § 38 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Conrad I (2016) Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München
Conrad I, Hausen D (2016) Datenschutz der Telemedien. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München
Deutscher Bundestag (2017) Drucksache 18/11325
Dix A (2014) § 34 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Dovas M-U (2016) Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? ZD 6(11):512–517
Egle M, Zeller A (2014) Datenschutzmanagement im Konzern. In: Von Dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
Ernestus W (2014) § 9 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Ernst S (2017) Art. 4 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
EuGH (1989) Zulässigkeit von Zwangsmaßnahmen und Durchsuchungen durch EG-Kommission. NJW 42(48):3080–3084
Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55
Gola P, Klug C (2007) Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter. NJW 60(3):118–122
Gola P, Klug C, Körffer B (2015) §§ 4 f, 19 BDSG. In: Gola P, Schomerus R (Hrsg) Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München
Gola P, Schomerus R (Hrsg) (2015) § 38 BDSG. In: Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München
Grages J-M (2016) Art. 32, 33, 34 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Hansen M (2016) Art. 35, 36 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Härting N (2016) Auftragsverarbeitung nach der DSGVO. ITRB (6):137–140
Herbst T (2017) Art. 5 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Hoeren T (2012) Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO. ZD 2(8):355–358
Hofmann J (2017) Die Auftragsverarbeitung (Cloud Computing). In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Hornung G (2012) Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.1.2012. ZD 2(3):99–106
Hullen N (2014) Ausblick auf die EU-Datenschutz-Grundverordnung. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
Jaspers A, Reif Y (2016) Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben. RdV 32(2):61–68
Kipker D-K (2016) The EU NIS Directive Compared to the IT Security Act – Germany is Well Positioned for the new European Cybersecurity Space, ZD-Aktuell 6(20): 05363
Koós C, Englisch B (2014) Eine „neue“ Auftragsdatenverarbeitung? – Gegenüberstellung der aktuellen Rechtslage und derDSGVO in der Fassung des LIBE-Entwurfs. ZD 4(6):276–285
Kranig T, Peintinger S (2014) Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DSGVO. ZD 4(1):3–9
Laue P, Nink J, Kremer S (Hrsg) (2016) Selbstregulierung; Technischer und Organisatorischer Datenschutz; Verarbeitung durch Dritte und im Ausland. In: Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl. Nomos, Baden-Baden
Mallmann O (2014) § 19 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Marschall K (2015) Datenpannen – „neue“ Meldepflicht nach der europäischen DSGVO? DuD 39(3):183–189
Marschall K (2017) Datenschutzfolgenabschätzung und Dokumentation. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Marschall K, Müller P (2016) Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen. ZD 6(9):415–420
Martini M (2017) Art. 24, 25, 26, 28, 30, 31, 32, 33, 35 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Mester BA (2013) § 19 BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Moos F (2015) § 4 f BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Nebel M, Richter P (2012) Datenschutz bei Internetdiensten nach der DSGVO – Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf. ZD 2(9):407–413
Paal BP (2017) Art. 36, 37, 38, 40, 41, 42 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Petri TB (2014) § 38 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Plath K-U (2016) Art. 6, 25, 26, 28 DSGVO; § 28 BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln CrossRef
Roßnagel A, Richter P, Nebel M (2013) Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DSGVO. ZD 3(3):103–108
Schaffland H-J, Wiltfang N (2016) § 4 f BDSG. In: Schaffland H-J, Wiltfang N (Hrsg) Bundesdatenschutzgesetz, Stand: Juni 2016. Erich Schmidt Verlag, Berlin
Schefzig J (2015) Der Datenschutzbeauftragte in der betrieblichen Datenschutzorganisation – Konflikt zwischen Zuverlässigkeit und datenschutzrechtlicher Verantwortung. ZD 5(11):503–507
Scheja G (2013) § 4 f BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Schmid G, Kahl T (2017) Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten. ZD 7(2):54–57
Scholz M, Lutz H (2011) Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG. CR 27(7):424–428
Scholz P (2014) § 3a BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Schreiber L (2016) Art. 4 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Schulz S (2012) Privacy by Design. CR 27(3):204–208
Schulz S (2017) Art. 5 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 19. Aufl. C.H. Beck, München
Simitis S (2014) § 4 f BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Spoerr W (2016) Art. 28, 30 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Thoma F (2013) Risiko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DSGVO-E. ZD 3(11):578–581
Veil W (2015) DSGVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme. ZD 5(8):347–353
Voigt P (2016) Dauerbrenner IT-Sicherheit – Nun macht Brüssel Druck. MMR 19(7):429–430
Voigt P, Gehrmann M (2016) Die europäische NIS-Richtlinie – Neue Vorgaben zur Netz- und IT-Sicherheit. ZD 6(8):355–358
Voigt P (2017) Konzerninterner Datentransfer, Praxisanleitung zur Schaffung eines Konzernprivilegs. CR 33(7):428–433
Völkel C (2015) Wearables und Gesundheitsdaten: Möglichkeiten und Grenzen zur cloudbasierten Nutzung durch Ärzte und Krankenversicherungen aus datenschutzrechtlicher Sicht. DSRITB 6:35–52
von Braunmühl P (2016) Art. 40, 42 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
von dem Bussche AF (2016) Art. 35, 36, 37, 38 DSGVO; § 4 f BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
von dem Bussche AF, Zeiter A, Brombach T (2016) Die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung durch Unternehmen. DB 69(23):1359–1365
von dem Bussche AF, Voigt P (2014) Auftragsdatenverarbeitung im Konzern; Der Datenschutzbeauftragte; Rechtliche Anforderungen an Datenverarbeitungen; Verarbeitungsübersicht und Verfahrensverzeichnis. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – Implementing the EU General Data Protection Regulation: A Business Perspective. EDPL 2(4):576–581
Weber MP, Voigt P (2011) Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln. ZD 1(2):74–78
Weidenkaff W (2017) § 626 BGB. In: Palandt, BGB, 76. Aufl. C.H. Beck, München
Wichtermann, M (2016) Einführung eines Datenschutz-Management-Systems im Unternehmen–Pflicht oder Kür? – Kurzüberblick über die Erweiterungen durch die DSGVO. ZD 6(9):421–422
Worms C (2017) § 19 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Wronka G (2014) Anmerkungen zu den Verhaltensregeln der Deutschen Versicherungswirtschaft. RdV 30(2):93–96
Wybitul T (2016) Welche Folgen hat die Datenschutz-Grundverordnung für Compliance? CCZ 9(5):194–198
Wybitul T, Draf O (2016) Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung im Unternehmen. BB (35):2101–2107
Metadaten
Titel
Anforderungen an die Datenschutzorganisation
verfasst von
Paul Voigt
Axel von dem Bussche
Copyright-Jahr
2018
Verlag
Springer Berlin Heidelberg
Buch
EU-Datenschutz-Grundverordnung (DSGVO)

Print ISBN: 978-3-662-56186-7

Electronic ISBN: 978-3-662-56187-4

Copyright-Jahr: 2018

DOI
https://doi.org/10.1007/978-3-662-56187-4_3

Stellenausschreibungen

Anzeige

Premium Partner

Pluta Rombach Rechtsanwälte
    Bildnachweise

    Version: 0.2067.0