Skip to main content

2024 | OriginalPaper | Buchkapitel

3. Anforderungen an die Datenschutzorganisation

verfasst von : Paul Voigt, Axel von dem Bussche

Erschienen in: EU-Datenschutz-Grundverordnung (DSGVO)

Verlag: Springer Berlin Heidelberg

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Zusammenfassung

Die DSGVO stellt hohe Anforderungen an die Datenschutzorganisation. Um die Datenverarbeitungstätigkeiten in Einklang mit den Anforderungen der DSGVO zu bringen, müssen Unternehmen Schritte einleiten, um diese Anforderungen vollständig zu erfüllen. Obwohl die Verantwortlichen vorrangig für die Einhaltung angemessener Datenschutzstandards verantwortlich sind, erlegt die DSGVO auch den Auftragsverarbeitern eigene, bußgeldbewährte Verpflichtungen auf. Dieses Kapitel stellt die verschiedenen Anforderungen an die Datenschutzorganisation nach der DSGVO vor. Darüber hinaus werden auch die Verteilung der Zuständigkeiten zwischen Verantwortlichen und Auftragsverarbeitern, präventive Datenschutzkonzepte sowie der risikobasierte Ansatz der Verordnung behandelt.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Fußnoten
1
Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 3. Kap. 2. Grundsätze der Verarbeitung nach der DSGVO (2019) Rn. 14.
 
2
Herbst, in: Kühling/Buchner, DSGVO BDSG, Art. 5 DSGVO (2020), Rn. 77.
 
3
Vgl. Herbst, in: Kühling/Buchner, DSGVO BDSG, Art. 5 DSGVO (2020), Rn. 79.
 
4
Herbst, in: Kühling/Buchner, DSGVO BDSG, Art. 5 DSGVO (2020), Rn. 78.
 
5
Siehe auch Art. 29 Datenschutzgruppe, WP 173 (2010b), Rn. 26.
 
6
Schantz, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 5 DSGVO (45. Ed. 01.11.2021), Rn. 38; Art. 29 Datenschutzgruppe, WP 173 (2010b), Rn. 41, 74.
 
7
ErwGr. 78 DSGVO; Art. 29 Datenschutzgruppe, WP 173 (2010b), Rn. 3.
 
8
Vgl. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 DSGVO (2019), Rn. 181–182; vgl. auch Herbst, in: Kühling/Buchner, DSGVO BDSG, Art. 5 DSGVO (2020), Rn. 79.
 
9
Schantz, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 5 DSGVO (45. Ed. 01.11.2021), Rn. 37.
 
10
Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 3. Rechenschaftspflicht (2019), Rn. 6; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 DSGVO (2019), Rn. 181–182.
 
11
Siehe auch Abschn. 4.​1; vgl. Voigt, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 5 DSGVO (2022), Rn. 42, 43; Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 3. Rechenschaftspflicht (2019), Rn. 10.
 
12
Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 DSGVO (2019), Rn. 182.
 
13
ErwGr. 82 DSGVO.
 
14
Herbst, in: Kühling/Buchner, DSGVO BDSG, Art. 5 DSGVO (2020), Rn. 80.
 
15
Lachenmann, in: Koreng/Lachenmann, DatenschutzR-FormHdB, Form. A. I. (2021) Anm. 1–24.
 
16
Vgl. Tabelle mit Anmerkungen: Lachenmann, in: Koreng/Lachenmann, DatenschutzR-FormHdB, Form. A. I. (2021) Anm. 1–24.
 
17
Zu den vorstehenden Ausführungen vgl. Tabelle mit Anmerkungen: Lachenmann, in: Koreng/Lachenmann DatenschutzR-FormHdB, Form. A. I. (2021) Anm. 1–24.
 
18
ErwGr. 76 DSGVO.
 
19
Art. 29 Datenschutzgruppe, WP 218 (2014), S. 3.
 
20
Zu den vorstehenden Ausführungen vgl. Schröder, ZD 2019b, 503, 505–506; Lang, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 24 DSGVO (2022), Rn. 31, 32; Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 3. Kap. 2. Grundsätze der Verarbeitung nach der DSGVO (2019) Rn. 14.
 
21
ErwGr. 75 DSGVO.
 
22
Vgl. Thoma, ZD 2013, 578, 579.
 
23
Vgl. Thoma, ZD 2013, 578, 579.
 
24
Vgl. Thoma, ZD 2013, 578, 579.
 
25
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 60.
 
26
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 24 DSGVO (2021), Rn. 40.
 
27
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 24 DSGVO (2021), Rn. 42.
 
28
Vgl. Martini, in: Paal/Pauly, DSGVO BDSG, Art. 24 DSGVO (2021), Rn. 40; Haag, in: Forgó/Helfrich/Schneider, Teil II. Kap. 2. Datenschutzmanagement und Datenschutzprozesse (2019), Rn. 2, 47.
 
29
Vgl. Egle/Zeller, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 2. Datenschutzmanagementsystem im Konzern (2019), Rn. 6.
 
30
Zu den vorstehenden Ausführungen vgl. Haag, in: Forgó/Helfrich/Schneider, Teil II. Kap. 2 Datenschutzmanagement und Datenschutzprozesse (2019), Rn. 2, 47, 48 (m.w.N.).
 
31
Vgl. TÜV Rheinland, Soll-Planung des Datenschutzmanagements, abrufbar unter: https://​www.​tuv.​com/​germany/​de/​datenschutzmanag​ementsystem-nach-eu-dsgvo.​html, zuletzt aufgerufen am: 23.11.2023.
 
32
Egle/Zeller, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 2. Datenschutzmanagementsystem im Konzern (2019), Rn. 6; Jung, ZD 2018, 208, 211.
 
33
Vgl. TÜV Rheinland, Soll-Planung des Datenschutzmanagements, abrufbar unter: https://​www.​tuv.​com/​germany/​de/​datenschutzmanag​ementsystem-nach-eu-dsgvo.​html, zuletzt aufgerufen am: 23.11.2023; vgl. auch Jung, ZD 2018, 208, 212.
 
34
Vgl. TÜV Rheinland, Soll-Planung des Datenschutzmanagements, abrufbar unter: https://​www.​tuv.​com/​germany/​de/​datenschutzmanag​ementsystem-nach-eu-dsgvo.​html, zuletzt aufgerufen am: 23.11.2023.
 
35
Egle/Zeller, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2 Kap. 2. Datenschutzmanagementsystem im Konzern (2019), Rn. 5.
 
36
Haag, in: Forgó/Helfrich/Schneider, Teil II. Kap. 2. Datenschutzmanagement und Datenschutzprozesse (2019), Rn. 5.
 
37
Haag, in: Forgó/Helfrich/Schneider, Teil II. Kap. 2. Datenschutzmanagement und Datenschutzprozesse (2019), Rn. 40.
 
38
Egle/Zeller, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 2 Datenschutzmanagementsystem im Konzern (2019), Rn. 25.
 
39
Jung, ZD 2018, 208, 212–213; vgl. auch Egle/Zeller, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 2 Datenschutzmanagementsystem im Konzern (2019), Rn. 37.
 
40
Jung, ZD 2018, 208, 213; vgl. auch Egle/Zeller, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 2 Datenschutzmanagementsystem im Konzern (2019), Rn. 38.
 
41
Haag, in: Forgó/Helfrich/Schneider, Teil II. Kap. 2. Datenschutzmanagement und Datenschutzprozesse (2019), Rn. 44, 45.
 
42
Voigt, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 5 DSGVO (2022), Rn. 48.
 
43
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 31 DSGVO (2021), Rn. 24.
 
44
Siehe auch EuGH, Urteil vom 21. September 1989, Hoechst AG/Kommission C-46/87, Rn. 29; Martini, in: Paal/Pauly, DSGVO BDSG, Art. 31 DSGVO (2021), Rn. 25, 26.
 
45
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 31 DSGVO (2021), Rn. 45.
 
46
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 31 DSGVO (2021), Rn. 17.
 
47
Für weitere Einzelheiten siehe Martini, in: Paal/Pauly, DSGVO BDSG, Art. 31 DSGVO (2021), Rn. 10 f.
 
48
ErwGr. 79 DSGVO; ebenfalls EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 163.
 
49
Dovas, ZD 2016, 512, 514; ebenfalls EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 164
 
50
Lezzi/Oberlin, ZD 2018, 398, 400.
 
51
Siehe auch EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 170.
 
52
Vgl. EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 70.
 
53
Siehe auch EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 71.
 
54
Siehe auch EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 51.
 
55
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 54; EuGH, Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija, C-683/21, Rn. 43.
 
56
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 55.
 
57
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 55; EuGH, Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija, C-683/21, Rn. 43.
 
58
Dovas, ZD 2016, 512, 514–515.
 
59
EuGH, Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija, C-683/21, Rn. 44–46.
 
60
Beispiel aus EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 68.
 
61
Beispiel aus EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 68.
 
62
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 59 ff. (mit weiteren Einzelheiten zum Vorliegen dieser Voraussetzung).
 
63
Kremer, CR 2019b, 225, 227, Gierschmann, ZD 2020, 69, 72.
 
64
Kremer, CR 2019b, 225, 228.
 
65
Kremer, CR 2019b, 225, 228.
 
66
Kremer, CR 2019b, 225, 228.
 
67
Gierschmann, ZD 2020, 69, 73; EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 47, 49
 
68
Siehe auch Voigt, CR 2017, 428, 431.
 
69
Plath, in: Plath, DSGVO BDSG TTDSG, Art. 26 DSGVO (2023), Rn. 31.
 
70
Lang, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 26 DSGVO (2022), Rn. 72.
 
71
Lang, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 26 DSGVO (2022), Rn. 72.
 
72
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 26 DSGVO (2021), Rn. 24–25.
 
73
ErwGr. 58 DSGVO.
 
74
ErwGr. 92 DSGVO.
 
75
In diese Richtung argumentierend siehe Voigt, CR 2017, 428, 430, dort Fn. 25; ausführlich dargestellt in Voigt, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, 2020, S. 13–17; Voigt, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 8 DSGVO (2023), Rn. 11; Schmid/Kahl, ZD 2017, 54, 56; Plath, in: Plath, DSGVO BDSG TTDSG, Art. 28 DSGVO (2023), Rn. 9; Martini, in: Paal/Pauly, DSGVO BDSG, Art. 28 DSGVO (2021), Rn. 8a-10a; Spoerr, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 28 DSGVO (45. Ed. 01.05.2022), Rn. 29–32; ablehnend Härting, ITRB 2016, 137, 138; Roßnagel/Richter/Nebel, ZD 2013, 103, 105; Streitstand ausführlich dargestellt in Plath, in: Plath, DSGVO BDSG TTDSG, Art. 28 DSGVO (2023), Rn. 8 und Gabel/Lutz, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 28 DSGVO (2022), Rn. 11.
 
76
Voigt, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 8 DSGVO (2022), Rn. 11; EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 80.
 
77
Schmid/Kahl, ZD 2017, 54, 56.
 
78
Plath, in. Plath, DSGVO BDSG TTDSG, Art. 28 DSGVO (2023), Rn. 17; Martini, in: Paal/Pauly, DSGVO BDSG, Art. 28 DSGVO (2021), Rn. 21; Spoerr, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 28 DSGVO (45. Ed. 01.05.2022), Rn. 35; Hartung, in: Kühling/Buchner, DSGVO BDSG, Art. 28 DSGVO (2020), Rn. 57, 60.
 
79
ErwGr. 81.
 
80
Hartung, in: Kühling/Buchner, DSGVO BDSG, Art. 28 DSGVO (2020), Rn. 56.
 
81
Hartung, in: Kühling/Buchner, DSGVO BDSG, Art. 28 DSGVO (2020), Rn. 56, 57.
 
82
Spoerr, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 28 DSGVO (45 Ed. 01.05.2022), Rn. 35; Martini, in: Paal/Pauly, DSGVO BDSG, Art. 28 DSGVO (2021), Rn. 21.
 
83
Spoerr, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 28 DSGVO (45. Ed. 01.05.2022), Rn. 33, 34.
 
84
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 112.
 
85
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 112; vgl. auch ErwGr. 79 DSGVO.
 
86
Vgl. ErwGr. 79 DSGVO.
 
87
Spoerr, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 28 DSGVO (45. Ed. 01.05.2023), Rn. 28g, 104.
 
88
Zu den vorstehenden Ausführungen vgl. EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 81.
 
89
im Detail: Voigt/v. d. Bussche in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 3. Kap. 4. Auftragsverarbeitung im Konzern (2019), Rn. 21 ff.
 
90
Art. 29 Datenschutzgruppe, WP 169 (2010a), S. 13, 14; EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 80.
 
91
Voigt/v. d. Bussche in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 3. Kap. 4. Auftragsverarbeitung im Konzern (2019), Rn. 22.
 
92
Art. 29 Datenschutzgruppe, WP 169 (2010a), S. 14, 15, EDPB; Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 81.
 
93
Für eine Hilfestellung für den Mindestgehalt eines Auftragsverarbeitungsvertrages siehe auch die Hilfestellung der Berliner Beauftragte für Datenschutz und Informationsfreiheit, aufrufbar unter: https://​www.​datenschutz-berlin.​de/​themen/​unternehmen/​auftragsverarbei​tung/​, zuletzt aufgerufen am: 23.11.2023.
 
94
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 28 DSGVO (2021), Rn. 39.
 
95
Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 5 Auftragsverarbeitung und Verarbeitung im Drittland (2019a), Rn. 20.
 
96
Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 5 Auftragsverarbeitung und Verarbeitung im Drittland (2019a), Rn. 20.
 
97
Zu den vorstehenden Ausführungen vgl. auch Voigt, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 28 (2023), Rn. 45–45b (m.w.N.).
 
98
Zu den vorstehenden Ausführungen vgl. auch Voigt, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 28 (2023), Rn. 45–45b (m.w.N.).
 
99
Siehe Art. 28 Abs. 6 DSGVO; ErwGr. 109 DSGVO. Diese Standardvertragsklauseln dürfen nicht mit denjenigen verwechselt werden, die nach Art. 46 DSGVO als Garantiemaßnahme für internationale Datentransfers dienen können. Siehe Abschn. 4.​3.​2 für Einzelheiten zu Letzteren.
 
100
Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern.
 
101
Zu den vorstehenden Ausführungen vgl. auch Voigt, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 28 (2022), Rn. 87, 89 (m.w.N.).
 
102
Vgl. ErwGr. 98 DSGVO; Schweinoch, in: Ehmann/Selmayr, DSGVO, Art. 40 DSGVO (2018), Rn. 1, 2.
 
103
Kinast, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 40 DSGVO (2022), Rn. 6.
 
104
Laue, in Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Selbstregulierung (2019), Rn. 20.
 
105
ZD-Aktuell 2019, 06606; Laue, in Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Einführung (2019), § 8 Selbstregulierung, Rn. 7; vgl. OLG Schleswig NZI 2021, 794 (798); Jungkind, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 40 DSGVO (45. Ed. 01.11.2021), Rn. 28.
 
106
Hullen, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 8. Verhaltensregeln und Zertifizierung (2019), Rn. 25.
 
107
Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO“, S. 5, abrufbar unter: https://​www.​verhaltensregel.​eu/​wp-content/​uploads/​2022/​11/​Verhaltensregel_​Trusted_​Data_​Processor_​V1.​pdf, zuletzt aufgerufen am: 23.11.2023.
 
108
Schweinoch, in: Ehmann/Selmayr, DSGVO, Art. 40 DSGVO (2018), Rn. 1, 2.
 
109
ErwGr. 100 DSGVO.
 
110
Hullen, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 8. Verhaltensregeln und Zertifizierung (2019), Rn. 43.
 
111
Hullen, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 8. Verhaltensregeln und Zertifizierung (2019), Rn. 49.
 
112
Hullen, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 8. Verhaltensregeln und Zertifizierung (2019), Rn. 46.
 
113
EDPB, Opinion 28/2022 on the Europrivacy criteria of certification regarding their approval by the Board as European Data Protection Seal pursuant to Article 42.5 (GDPR), Rn. 25, 26.
 
115
Zu den vorstehenden Ausführungen vgl. EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 81.
 
116
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 28 DSGVO (2021), Rn. 56.
 
117
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 28 DSGVO (2021), Rn. 58.
 
118
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 148.
 
119
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), Rn. 149.
 
120
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2020), Rn. 153.
 
121
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2020), Rn. 125.
 
122
Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 5 Auftragsverarbeitung und Verarbeitung im Drittland (2019a), Rn. 25.
 
123
Reuter/Voigt, DSB 2022, 309, 310.
 
124
Zu den vorstehenden Ausführungen vgl. Voigt, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 28 (2023), Rn. 40.
 
125
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 24 DSGVO (2021), Rn. 5.
 
126
Zu den vorstehenden Ausführungen vgl. EDPB, Guidelines 04/2019 on Article 25 Data Protection by Design and by Default, Version 2.0 (2020), Rn. 6.
 
127
Zwar spricht der Wortlaut von Art. 25 Abs. 1 DSGVO von geeigneten Garantien, hierbei handelt es sich nicht um rechtliche Garantien, sondern um tatsächliche Maßnahmen (im englischen Wortlaut „Safeguards“), welche die Umsetzung der Datenschutzgrundsätze absichern/garantieren sollen.
 
128
Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, § 33 Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung (2019), Rn. 225.
 
129
Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, § 33 Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung (2019), Rn. 221.
 
130
Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, § 33 Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung (2019), Rn. 221.
 
131
ErwGr. 78 DSGVO; Gierschmann, ZD 2016, 51, 53.
 
132
Kritisch hierzu: Lang, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 25 DSGVO (2022), Rn. 27–30.
 
133
Zu den vorstehenden Ausführungen vgl. Lang, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 25 DSGVO (2022), Rn. 27–30.
 
134
ErwGr. 78 DSGVO; Wybitul/Draf, BB 2016, 2101, 2104.
 
135
Baumgartner, in: Ehmann/Selmayr, DSGVO Art. 25 (2018)., Rn. 14; Beispiel aus Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 35.
 
136
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 25 DSGVO (2021), Rn. 45.
 
137
Gierschmann, ZD 2016, 51, 53.
 
138
EDPB, Guidelines 04/2019 on Article 25 Data Protection by Design and by Default, Version 2.0 (2020), Rn. 48, 76.
 
139
a.a.O.
 
140
Plath in: Plath, DSGVO BDSG TTDSG, Art. 25 DSGVO (2023), Rn. 26.
 
141
Plath in: Plath, DSGVO BDSG TTDSG, Art. 25 DSGVO (2023), Rn. 26, 27.
 
142
Plath in: Plath, DSGVO BDSG TTDSG, Art. 25 DSGVO (2023), Rn. 27.
 
143
Siehe auch EDPB, Guidelines 04/2019 on Article 25 Data Protection by Design and by Default, Version 2.0 (2020), Rn. 40–59, Rn. 70 ff.
 
144
EDPB, Guidelines 04/2019 on Article 25 Data Protection by Design and by Default, Version 2.0 (2020), Rn. 60 ff.
 
145
Zu den vorstehenden Ausführungen vgl. KG, 06.12.2021 – 3 Ws 250/21, Rn. 1–4; Keber, RDV 2022, 70, 71; LG Berlin, 18.02.2021 – (526 Owi LG) 212 JsOWi 1/20 (Vorinstanz); KG, 06.12.2021 – 3 Ws 250/21; EuGH, Urteil vom 5. Dezember 2023, Deutsche Wohnen SE/Staatsanwaltschaft Berlin, C-807/21.
 
146
Keber, RDV 2022, 70, 71.
 
147
Keber, RDV 2022, 70, 71, 75.
 
148
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Technischer und organisatorischer Datenschutz (2019), Rn. 18.
 
149
Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 25 DSGVO (2019), Rn. 66, 68; v. d. Bussche/Zeiter, EDPL 2016, 576, 577.
 
150
EDPB, Guidelines 04/2019 on Article 25 Data Protection by Design and by Default, Version 2.0 (2020), Rn. 96 ff.; Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 25 DSGVO (2019), Rn. 70.
 
151
Hartung, in: Kühling/Buchner, DSGVO BDSG, Art. 25 DSGVO (2020), Rn. 23; v. d. Bussche/Zeiter, EDPL 2016, 576, 577.
 
152
ErwGr. 82 DSGVO.
 
153
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 30 DSGVO (2021), Rn. 2; ErwGr. 39 DSGVO.
 
154
Art. 30 Abs. 4 DSGVO; ErwGr. 82 DSGVO.
 
155
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 30 DSGVO (2021), Rn. 2.
 
156
Siehe auch v. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 1. Der Datenschutzbeauftragte (2019), Rn. 68.
 
157
Siehe auch v. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 1. Der Datenschutzbeauftragte (2019), Rn. 68.
 
158
Spoerr, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 30 DSGVO (45. Ed. 01.05.2022), Rn. 9a; siehe auch Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 3. Rechenschaftspflicht (2019), Rn. 6.
 
159
Spoerr, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 30 DSGVO (45. Ed. 01.05.2022), Rn. 10.
 
160
Deutsche Musterformulare und Hinweise, abrufbar unter: https://​www.​bfdi.​bund.​de/​DE/​Fachthemen/​Inhalte/​Allgemein/​Verzeichnis-Verarbeitungstae​tigkeiten.​html, zuletzt aufgerufen am 23.11.2023; Französische Musterformulare und Hinweise in englischer Sprache, abrufbar unter: https://​www.​cnil.​fr/​en/​record-processing-activities, zuletzt aufgerufen am 23.11.2023.
 
161
DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO (2018), S. 1; DSK, Kurzpapier Nr. 1 (2018), S. 3.
 
162
Voigt, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 5 DSGVO (2022), Rn. 47.
 
163
a.a.O.
 
164
a.a.O.
 
165
Voigt, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 5 DSGVO (2022), Rn. 42.
 
166
ErwGr. 13 DSGVO.
 
167
Siehe ErwGr. 13 DSGVO, v. a. in Verbindung mit der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).
 
168
Art. 2 des Anhangs der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).
 
169
DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO (2018), S. 3; Datenschutzkonferenz, Kurzpapier Nr. 1 (2018b), S. 1.
 
170
Spoerr, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 30 DSGVO (45. Ed. 01.05.2022), Rn. 20, 21.
 
171
DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO (2018), S. 4.
 
172
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 30 DSGVO (2021), Rn. 33 f.
 
173
Scheja/Reibach/Reichert, in: Leupold/Wiebe/Glossner, IT-Recht, Teil 6.6 Schutz personenbezogener Daten im Rahmen eines Datenschutzkonzepts (2021), Rn. 53; Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 30 DSGVO (2022), Rn. 30.
 
174
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 30 DSGVO (2021), Rn. 35.
 
175
So auch die DSK, Kurzpapier Nr. 1 (2018), S. 1.
 
176
DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten (2018), S. 3, 4.
 
177
Hartung, in: Kühling/Buchner, DSGVO BDSG, Art. 30 DSGVO (2020), Rn. 39.
 
178
EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1 (2021), S. 12.
 
179
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 3.
 
180
Mantz, in: Sydow/Marsch, DSGVO BDSG, Art. 32 DSGVO (2022), Rn. 8; Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 4.
 
181
Barlag, in: Roßnagel, DSGVO, § 3 VII. Datenschutz durch Technikgestaltung (2017), Rn. 194.
 
182
Siehe auch Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 32 DSGVO (2019), Rn. 19.
 
183
Beispiele aus ErwGr. 78 DSGVO; siehe auch Jandt, in: Kühling/Buchner, DSGVO BDSG, Art. 32 DSGVO (2020), Rn. 5.
 
184
Siehe auch Völkel, DSRITB 2015, 35, 46 ff.
 
185
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 34.
 
186
Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 32 DSGVO (2022), Rn. 15.
 
187
a.a.O.
 
188
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 34.
 
189
Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 5. Kap. 3. Technischer Datenschutz (2019) Rn. 4.
 
190
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 35.
 
191
Grages, in: Plath, DSGVO BDSG TTDSG, Art. 32 DSGVO (2023), Rn. 7.
 
192
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 40.
 
193
Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil. 5. Kap. 3 Technischer Datenschutz (2019) Rn. 6.
 
194
Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 32 DSGVO (2022), Rn. 20.
 
195
Zu den vorstehenden Ausführungen vgl. Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 5. Kap. 3. Technischer Datenschutz (2019) Rn. 4–10; Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 36–39.
 
196
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 32 DSGVO (2021), Rn. 41 ff.
 
197
Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 5. Kap. 3. Technischer Datenschutz (2019) Rn. 14.
 
198
Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 5. Kap. 3 Technischer Datenschutz (2019) Rn. 14.
 
199
Referentenentwurf des Bundesministeriums des Innern und für Heimat, abrufbar unter: https://​ag.​kritis.​info/​wp-content/​uploads/​2023/​07/​NIS2UmsuCG-Referentenentwur​f-BMI-CI1-Bearbeitungsstan​d-03072023.​pdf, zuletzt aufgerufen am: 23.11.2023.
 
200
Vgl. ErwGr. 16 DORA.
 
201
Vorschlag (COM (2022) 454) für eine Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 (CRA-Entwurf).
 
202
Zur weiteren Lektüre Voigt/Falk, MMR 2023, 88.
 
203
Vgl. Art. 1, Art. 5 CRA-Entwurf; vgl. CRA-Entwurf, Begründung, S. 1.
 
204
Art. 6 Abs. 2 S. 3 lit. c CRA-Entwurf.
 
205
ErwGr. 26 CRA-Entwurf, Art. 24 Abs. 2, 3 CRA-Entwurf.
 
206
Vgl. ErwGr. 17 CRA-Entwurf.
 
207
Voigt, MMR 2016, 429, 430; vgl. ErwGr. 17 CRA-Entwurf.
 
208
Vgl. ErwGr. 14, 43, 121 NIS-2 RL, Art. 2 Abs. 12, 14 NIS-2 RL; ErwGr. 34 DORA, Art. 45 Abs. 1 lit. c, Art. 56 Abs. 1 DORA; COM (2022) 454, S. 10, ErwGr. 17 CRA-Entwurf.
 
209
Gierschmann, ZD 2016, 51, 53. Theoretisch war vor Inkrafttreten des DSGVO in Deutschland eine solche Pflicht bisher in § 42a BDSG a.F. vorgesehen, die jedoch in der Praxis aufgrund ihres eingeschränkten Anwendungsbereichs äußerst selten zur Anwendung kam. Auch bereichsspezifische Meldepflichten im Bereich des Telemediendatenschutzes waren in § 15a TMG a.F. und § 93 Abs. 3 TKG a.F. vorgesehen, wobei Verstöße gegen die Vorschriften nicht bußgeldbewährt sind.
 
210
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 33 DSGVO (2021), Rn. 10.
 
211
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 15.
 
212
Vgl. mit Art. 32 Abs. 1 lit. c DSGVO.
 
213
Schreiber, in: Plath, DSGVO BDSG TTDSG, Art. 4 DSGVO (2023), Rn. 44.
 
214
Ernst, in: Paal/Pauly, DSGVO BDSG, Art. 4 DSGVO (2021), Rn. 95; Martini, in: Paal/Pauly, DSGVO BDSG, Art. 33 DSGVO (2021), Rn. 16.
 
215
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 14.
 
216
BayLfD, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Orientierungshilfe (2019), Rn. 11.
 
217
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 14.
 
218
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 147.
 
219
BayLfD, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Orientierungshilfe (2019), Rn. 15.
 
220
BayLfD, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Orientierungshilfe (2019), Rn. 16.
 
221
BayLfD, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Orientierungshilfe (2019), Rn. 16.
 
222
Jandt, in: Kühling/Buchner, DSGVO BDSG, Art. 4 Nr. 12 DSGVO (2020), Rn. 8a.
 
223
ErwGr. 39; Jandt, in: Kühling/Buchner, DSGVO BDSG, Art. 4 Nr. 12 DSGVO (2020), Rn. 8a.
 
224
Der Wortlaut kann aber auch dahingehend ausgelegt werden, dass ein Verstoß nur dann vorliegt, wenn eine tatsächliche Weitergabe von Daten an eine unbefugte Partei erfolgt ist. Eine weitere Interpretation wäre, eine Verletzung nur in Fällen anzunehmen, im anhand der Umstände des Einzelfalles eine faktische Offenlegung der Daten an Unbefugte naheliegend erscheint (anstatt pauschal von einem Verstoß auszugehen).
 
225
EDPB, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, Version 2.0 (2021), Rn. 1 ff., 16; Hessel/Potel, DSRITB 2021, 279, 282.
 
226
EDPB, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, Version 2.0 (2021), Rn. 14.
 
227
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Technischer und organisatorischer Datenschutz (2019), Rn. 55.
 
228
Grages, in: Plath, DSGVO BDSG TTDSG, Art. 33 DSGVO (2023), Rn. 6.
 
229
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 33 (2021), Rn. 33.
 
230
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 33 (2021), Rn. 18.
 
231
Zu den vorstehenden Ausführungen vgl. Art. 29 Datenschutzgruppe, WP 250 (2018), S. 11; EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 31 ff.
 
232
Grages in: Plath, DSGVO BDSG TTDSG, Art. 33 DSGVO (2023), Rn. 8.
 
233
Grages, in: Plath, DSGVO BDSG TTDSG, Art. 33 DSGVO (2023), Rn. 17.
 
234
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 44; Jandt, in: Kühling/Buchner, DSGVO BDSG, Art. 33 DSGVO (2020), Rn. 15.
 
235
Jandt, in: Kühling/Buchner, DSGVO BDSG, Art. 33 DSGVO (2020), Rn. 15.
 
236
ErwGr. 87 DSGVO.
 
237
Grages, in: Plath, DSGVO BDSG TTDSG, Art. 33 DSGVO (2023), Rn. 7.
 
238
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 101.
 
239
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 101.
 
240
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 75.
 
241
ErwGr. 85 DSGVO.
 
242
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 33 DSGVO (2021), Rn. 22.
 
243
Siehe den Wortlaut von Art. 33 Abs. 1 DSGVO: „zu einem Risiko […] führt“.
 
244
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 33 DSGVO (2021), Rn. 25.
 
245
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 103 ff.
 
246
Siehe hierzu auch EDPB, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, Version 2.0 (2021).
 
247
Siehe hierzu auch EDPB, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, Version 2.0 (2021).
 
248
Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO BDSG, Art. 33 DSGVO (2020), Rn. 45.
 
249
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 35, 104.
 
250
Grages, in: Plath, DSGVO BDSG, Art. 33 DSGVO (2018), Rn. 12.
 
251
Grages, in: Plath, DSGVO BDSG, Art. 33 DSGVO (2018), Rn. 12.
 
252
Art. 29 Datenschutzgruppe, WP 250 (2018), S. 22.
 
253
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 33 DSGVO (2021), Rn. 55.
 
254
ErwGr. 86 DSGVO; für Einzelheiten siehe Art. 34 Abs. 2 DSGVO in Verbindung mit Art. 33 Abs. 3 DSGVO.
 
255
Vgl. ErwGr. 75, 85.
 
256
Brink, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 34 DSGVO (45. Ed. 01.02.2022), Rn. 26.
 
257
Art. 34 Abs. 4 DSGVO.
 
258
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 97.
 
259
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 97.
 
260
EDPB, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, Version 2.0 (2021), Rn. 39.
 
261
EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0 (2023), Rn. 99.
 
262
Gräber/Nolden, in: Paal/Pauly, DSGVO BDSG, § 29 BDSG (2021), Rn. 3.
 
263
Gräber/Nolden, in: Paal/Pauly, DSGVO BDSG, § 29 BDSG (2021), Rn. 6.
 
264
Laue, in: Spindler/Schuster, Recht der elektronischen Medien, Art. 34 DSGVO (2019), Rn. 21.
 
265
Siehe auch Uwer, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 29 BDSG (45. Ed. 01.08.2023), Rn. 8.
 
266
Herbst, in: Kühling/Buchner, DSGVO BDSG, § 29 BDSG (2020), Rn. 7.
 
267
Herbst, in: Kühling/Buchner, DSGVO BDSG, § 29 BDSG (2020), Rn. 7.
 
268
Siehe auch Mallmann, in: Simitis, Bundesdatenschutzgesetz, § 19 BDSG (2014), Rn. 100.
 
269
Gräber/Nolden, in: Paal/Pauly, DSGVO BDSG, § 29 BDSG (2021), Rn. 7.
 
270
Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, G. VI. Berufsgeheimnisträger (2017), Rn. 1366.
 
271
Louven, in: Taeger/Gabel, DSGVO BDSG TTDSG, § 29 BDSG (2022), Rn. 6.
 
272
Art. 4 Nr. 10 DSGVO.
 
273
§ 29 Abs. 1 S. 4 BDSG.
 
274
ErwGr. 86 DSGVO.
 
275
Siehe Art. 34 Abs. 4 DSGVO und ErwGr. 86 DSGVO.
 
276
Gemäß ErwGr. 95 DSGVO soll der Auftragsverarbeiter den Verantwortlichen, soweit erforderlich und auf dessen Anfrage hin, bei der Gewährleistung der Einhaltung der sich aus der Datenschutz-Folgenabschätzung sowie der vorherigen Konsultation der Aufsichtsbehörden ergebenden Auflagen unterstützen. Siehe auch Art. 28 Abs. 3 S. 2 lit. f DSGVO, gemäß dem der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter vorsehen soll, dass der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Verpflichtungen aus Art. 35, 36 DSGVO unterstützt.
 
277
DSK, Kurzpapier Nr. 5 (2018), S. 3.
 
278
ErwGr. 90 DSGVO.
 
279
ErwGr. 84 DSGVO.
 
280
DSK, Kurzpapier Nr. 5 (2018), S. 1; v. d. Bussche/Raguse in: Plath, DSGVO BDSG TTDSG, Art. 35 DSGVO (2023), Rn. 5.
 
281
DSK, Kurzpapier Nr. 5 (2018), S. 1; v. d. Bussche/Raguse in: Plath, DSGVO BDSG TTDSG, Art. 35 DSGVO (2018), Rn. 5, 6.
 
282
v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 35 DSGVO (2023), Rn. 7.
 
283
ErwGr. 92 DSGVO.
 
284
Art. 35 Abs. 1 DSGVO.
 
285
ErwGr. 89 DSGVO.
 
286
ErwGr. 91 DSGVO.
 
287
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 35 DSGVO (2021), Rn. 31.
 
288
Art. 29 Datenschutzgruppe, WP 248 (2017a), S. 9 ff., welche vom EDSA gebilligt wurden. 
 
289
Art. 29 Datenschutzgruppe, WP 248 (2017a), S. 11.
 
290
Art. 29 Datenschutzgruppe, WP 248 (2017a), S. 9.
 
291
Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 20.
 
292
Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 20.
 
293
Art. 29 Datenschutzgruppe, WP 248 (2017a), S. 9.
 
294
Art. 29 Datenschutzgruppe, WP 248 (2017a), S. 9–10; Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 20.
 
295
Vgl. Art. 29 Datenschutzgruppe, WP 243 (2017a), S. 7.
 
296
BfDI, Liste von Verarbeitungstätigkeiten gemäß Artikel 35 Abs. 4 DSGVO (2018), S. 3.
 
297
Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 20; Datenschutzkonferenz, Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO.
 
298
ErwGr. 75; Art. 29 Datenschutzgruppe, WP 248 (2017a), S. 10; Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 20.
 
299
Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 20.
 
300
Art. 29 Datenschutzgruppe, WP 248 (2017a), S. 11.
 
301
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 35 DSGVO (2021), Rn. 33.
 
302
Siehe der Wortlaut von Art. 35 Abs. 4 und Art. 57 Abs. 1 lit. k DSGVO „erstellt“ und Art. 35 Abs. 5 DSGVO „kann […] erstellen“.
 
303
Jandt, in: Kühling/Buchner, DSGVO BDSG, Art. 35 DSGVO (2020) Rn. 13.
 
304
Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 27 (m.w.N.).
 
305
Datenschutzkonferenz, Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO (2018), S. 3, 4, Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 27 (m.w.N.).
 
306
Jandt in: Kühling/Buchner, DSGVO BDSG, Art. 35 DSGVO (2020), Rn. 21.
 
308
ErwGr. 15 DSGVO.
 
309
Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 35 DSGVO (45. Ed. 01.11.2021), Rn. 32.
 
311
Koglin, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 5. Datenschutz-Folgenabschätzung nebst vorheriger Konsultation (2019) Rn. 38.
 
312
Reibach, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 35 DSGVO (2022), Rn. 37.
 
313
Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 35 DSGVO (45. Ed. 01.11.2021), Rn. 43.
 
314
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 35 DSGVO (2021), Rn. 52; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 35 DSGVO (45. Ed. 01.11.2021), Rn. 46–47.
 
315
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 35 DSGVO (2021), Rn. 51.
 
316
Siehe Art. 35 Abs. 7 lit. d DSGVO.
 
317
Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 35 DSGVO (45. Ed. 01.11.2021), Rn. 48–49.
 
318
v. d. Bussche/Raguse in: Plath, DSGVO BDSG TTDSG, Art. 35 DSGVO (2023), Rn. 34, 35.
 
319
Koglin, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 5. Datenschutz-Folgenabschätzung nebst vorheriger Konsultation (2019), Rn. 46.
 
320
Siehe hierzu: www.​cnil.​fr/​en/​privacy-impact-assessment-pia, zuletzt aufgerufen am: 23.11.2023.
 
321
Abrufbar unter: https://​ico.​org.​uk/​media/​for-organisations/​documents/​2553993/​dpia-template.​docx, zuletzt aufgerufen am: 23.11.2023. Zwar ist das Vereinigte Königreich nicht mehr Teil der EU, die Checkliste wurde aber mit Hinblick auf die DSGVO und deren Vorgaben entworfen.
 
322
Art. 35 Abs. 8, 9 DSGVO.
 
323
Siehe auch Art. 39 Abs. 1 lit. c DSGVO zum Datenschutzbeauftragten.
 
324
Art. 29 Datenschutzgruppe, WP 243 (2016), S. 17.
 
325
Für weitere Einzelheiten siehe Art. 29 Datenschutzgruppe, WP 243 (2016), S. 17 f.
 
326
Siehe Art. 35 Abs. 10, 6 Abs. 1 lit. c, e DSGVO.
 
327
ErwGr. 91 DSGVO.
 
328
Art. 29 Datenschutzgruppe, WP 248, S. 19; DSK, Kurzpapier Nr. 5, S. 5. Es wird überwiegend vertreten, dass eine Konsultation in Anbetracht von ErwGr. 94 DSGVO erforderlich ist, wenn der Verantwortliche zu der Einschätzung kommt, dass er dem hohen Risiko nicht durch geeignete Maßnahmen im Hinblick auf verfügbare Technologien und Umsetzungskosten angemessen begegnen kann (unabhängig davon, ob er bereits versucht hat, das Risiko durch Maßnahmen zu minimieren oder nicht). Siehe: Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 36 DSGVO (45. Ed. 01.11.2021), Rn. 9.
 
329
Es wird teilweise vertreten, dass eine Konsultation nur dann stattfinden soll, wenn der Verantwortliche keine Maßnahmen zur Eindämmung des hohen Risikos eingeleitet hat. Dies richtet sich nach einer strengen Auslegung aus dem Wortlaut des Art. 36 Abs. 1 DSGVO (… keine Maßnahmen zur Eindämmung des Risikos trifft) und des ErwGr. 4 DSGVO (Verantwortliche ist der Auffassung (nach der Datenschutz-Folgenabschätzung), das Risiko könne nicht eingedämmt werden), siehe hierzu: Schmitz/von Dall’Armi, ZD 2017, 57, 63; Jandt, in: Kühling/Buchner, DSGVO BDSG, Art. 36 DSGVO (2020), Rn. 5a.
 
330
Siehe hierzu Braun, ZD 2021, 297, 299, der keinen Anwendungsfall in Deutschland feststellen konnte. Siehe auch: Jandt, in: Kühling/Buchner, DSGVO BDSG, Art. 36 DSGVO (2020), Rn. 4a.
 
331
Vgl. Entscheidungspraxis der österreichischen Aufsichtsbehörde, DSB Bescheid v. 2.2.2021, GZ: DSB-D485.007/2021-0.024.862; DSB Bescheid v. 18.12.2018, GZ: DSB-D485.001/0003-DSB/2018; solche Fälle sind mit hoher Wahrscheinlichkeit die Ausnahme von der Regel, da die Aufsichtsbehörden höchstwahrscheinlich auch ein Risiko annehmen werden, wenn der Verantwortliche dies bereits tut
 
332
Für weitere Einzelheiten siehe v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 36 DSGVO (2023), Rn. 1.
 
333
v. d. Bussche/Raguse in: Plath, DSGVO BDSG TTDSG, Art. 36 DSGVO (2023), Rn. 4.
 
334
Art. 36 Abs. 2 S. 3 DSGVO.
 
335
ErwGr. 94 DSGVO.
 
336
v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 36 DSGVO (2023), Rn. 12.
 
337
Paal, in: Paal/Pauly, DSGVO BDSG, Art. 36 DSGVO (2021), Rn. 19.
 
338
Allerdings sahen einige EU-Mitgliedstaaten bisher die Möglichkeit der freiwilligen Benennung eines Datenschutzbeauftragten vor, wie bspw. Polen, Frankreich und Schweden.
 
339
Hoeren, ZD 2012, 355, 355.
 
340
Marschall/Müller, ZD 2016, 415, 416.
 
341
Behörden und öffentliche Stellen sind ebenfalls zur Benennung eines Datenschutzbeauftragten verpflichtet, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, wobei mehrere Behörden/öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen können, siehe Art. 37 Abs. 1 lit. a, Abs. 3 DSGVO.
 
342
Art. 37 Abs. 7 DSGVO.
 
343
Paal, in: Paal/Pauly, DSGVO BDSG, Art. 37 DSGVO (2021), Rn. 17.
 
344
ErwGr. 97 DSGVO.
 
345
CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 11; Jaspers/Reif, RdV 2016, 61, 62.
 
346
Für Einzelheiten siehe auch Gierschmann, ZD 2016, 51, 52; CIPL, GDPR Project DPO Paper (2016), S. 15.
 
347
CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 11; Art. 29 Datenschutzgruppe, WP 243 (2017a), S. 7.
 
348
§ 4 f Abs. 1 Sätze 1, 4, 6 BDSG a.F.
 
349
Siehe auch Hullen/Krohm in: Plath, DSGVO BDSG TTDSG, § 38 BDSG (2023), Rn. 6.
 
350
Kühling/Sackmann, in: Kühling/Buchner, DSGVO BDSG, § 38 BDSG (2020), Rn. 10.
 
351
Siehe auch Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 38 BDSG (45. Ed. 01.11.2021), Rn. 11
 
352
Siehe auch Hullen/Krohm in: Plath, DSGVO BDSG TTDSG, § 38 BDSG (2023), Rn. 5.
 
353
Hullen/Krohm in: Plath, DSGVO BDSG TTDSG, § 38 BDSG (2023), Rn. 7; Kühling/Sackmann, in: Kühling/Buchner, DSGVO BDSG, § 38 BDSG (2020), Rn. 11.
 
354
Siehe dazu Abschn. 2.​1.​1.
 
355
Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 38 BDSG (45. Ed. 01.11.2021), Rn. 10; Kinast, in: Taeger/Gabel, DSGVO BDSG TTDSG, § 38 BDSG (2022), Rn. 22.
 
356
Siehe auch Gola/Klug, NJW 2007, 118, 120.
 
357
Pauly, in: Paal/Pauly, DSGVO BDSG, § 38 BDSG (2021), Rn. 9; Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 38 BDSG (45. Ed. 01.11.2021), Rn. 6a; Kinast, in: Taeger/Gabel, DSGVO BDSG TTDSG, § 38 BDSG (2022), Rn. 18–21; Dazu kritisch: Kühling/Sackmann, in: Kühling/Buchner, DSGVO BDSG, § 38 BDSG (2020), Rn. 11.
 
358
Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 38 BDSG (2022), Rn. 6a; Kinast, in: Taeger/Gabel, DSGVO BDSG TTDSG, § 38 BDSG (2022), Rn. 21.
 
359
Pauly, in: Paal/Pauly, DSGVO BDSG, § 38 BDSG (2021), Rn. 13.
 
360
Kühling/Sackmann, in: Kühling/Buchner, DSGVO BDSG, § 38 BDSG (2020), Rn. 14; Pauly, in: Paal/Pauly, DSGVO BDSG, § 38 BDSG (2021), Rn. 13. Siehe auch Simitis, in: Simitis, Bundesdatenschutzgesetz, § 4 f (2014), Rn. 15.
 
361
Pauly, in: Paal/Pauly, DSGVO BDSG, § 38 BDSG (2021), Rn. 13.
 
362
Baumgartner/Hansch, ZD 2019, 99, 101; Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 37 DSGVO (2019), Rn. 34.
 
363
Baumgartner/Hansch, ZD 2019, 99, 101.
 
364
Baumgartner/Hansch, ZD 2019, 99, 101.
 
365
CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 41.
 
366
v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 37 DSGVO (2023), Rn. 33.
 
367
Art. 29 Datenschutzgruppe, WP 243 (2016), S. 10; Marschall/Müller, ZD 2016, 415, 417; Jaspers/Reif, RdV 2016, 61, 63.
 
368
Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 37 DSGVO (2019), Rn. 32–33; CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 41.
 
369
Bergt, in: Kühling/Buchner, DSGVO BDSG Art. 37 DSGVO (2020) Rn. 28; Landes-Datenschutzbeauftragter NRW, FAQ, Unter welchen Voraussetzungen liegt eine leichte Erreichbarkeit vor, aufrufbar unter: https://​www.​ldi.​nrw.​de/​datenschutzbeauf​tragte-faq-grundlagen-und-benennung, zuletzt aufgerufen am: 23.11.2023.
 
370
Art. 29 Datenschutzgruppe, WP 243 (2017a), S. 11; CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 41; Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 37 DSGVO (2019), Rn. 31.
 
371
Scheja, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 37 DSGVO (2022), Rn. 48.
 
372
Für weitere Einzelheiten siehe auch CIPL, GDPR Project DPO Paper (2016), S. 2, 6, 19.
 
373
Vgl. BAG, Urt. v. 23. 3. 2011 – 10 AZR 562/​09.
 
374
v. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 1. Der Datenschutzbeauftragte (2019), Rn. 83.
 
375
Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 6 Datenschutzbeauftragter (2019a), Rn. 35.
 
376
v. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 1. Der Datenschutzbeauftragte (2019), Rn. 83.
 
377
Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 6 Datenschutzbeauftragter (2019a), Rn. 37.
 
378
v. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 1. Der Datenschutzbeauftragte (2019), Rn. 84.
 
379
v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 37 DSGVO (2023), Rn. 48.
 
380
ErwGr. 97 DSGVO.
 
381
Helfrich, in: Sydow, DSGVO BDSG, Art. 37 (2022), Rn. 114.
 
382
Helfrich, in: Sydow, DSGVO BDSG, Art. 37 (2022), Rn. 112; v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 37 DSGVO (2018), Rn. 47–56.
 
383
Siehe auch v. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 1. Der Datenschutzbeauftragte (2019) Rn. 29–31.
 
384
Paal, in: Paal/Pauly, DSGVO BDSG, Art. 37 DSGVO (2021), Rn. 15; Baumgartner/Hansch, ZD 2019, 99, 102 (m.w.N.).
 
385
Zu den vorstehenden Ausführungen vgl. v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 37 DSGVO (2023), Rn. 56; Art. 29 Datenschutzgruppe, WP 243 (2017a), S. 12; CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 20; Baumgartner/Hansch, ZD 2019, 99, 102 (m.w.N.).
 
386
Art. 35 Abs. 7 Vorschlag der Europäischen Kommission für die DSGVO (KOM (2012) 11 final).
 
387
Bergt, in: Kühling/Buchner, DSGVO BDSG, Art. 38 DSGVO (2020), Rn. 29; Hoeren, ZD 2012, 355, 357; Marschall/Müller, ZD 2016, 415, 416; a. A.: BfDI, Die Datenschutzbeauftragen in Behörden und Betrieben (2020), S. 17, welcher von einer grundsätzlichen Benennung von vier Jahren ausgeht.
 
388
Zustimmend siehe Jaspers/Reif, RdV 2016, 61, 63; Paal, in: Paal/Paul, DSGVO BDSG, Art. 37 (2021), Rn. 16; Marschall/Müller, ZD 2016, 415, 416.
 
389
v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 38 DSGVO (2023), Rn. 6, 7.
 
390
ErwGr. 97 DSGVO.
 
391
Paal, in: Paal/Pauly, DSGVO BDSG, Art. 38 DSGVO (2021), Rn. 9.
 
392
Art. 29 Datenschutzgruppe, WP 243 (2017a), S. 15; CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 11.
 
393
Paal, in: Paal/Pauly, DSGVO BDSG, Art. 38 DSGVO (2021), Rn. 9.
 
394
Jaspers/Reif, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, Art. 38 DSGVO (2020), Rn. 17.
 
395
a.a.O.
 
396
Art. 38 Abs. 3 S. 3 DSGVO.
 
397
CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 32.
 
398
CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 32.
 
399
CIPL, GDPR Project DPO Paper (2016), S. 9; CNIL, Practical Guide GDPR, Data Protection Officers (2022), S. 32; v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 38 DSGVO (2023), Rn. 17; Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 38 DSGVO (45. Ed. 01.11.2021), Rn. 26; Heberlei, in; Ehmann/Selmayr, DSGVO, Art. 38 DSGVO (2018), Rn. 16. Von einer direkten Unterordnung unter der höchsten Leitungsebene ausgehen: BfDI, Die Datenschutzbeauftragen in Behörden und Betrieben, S. 19; Jaspers/Reif in: Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO BDSG, Art. 38 DSGVO (2020), Rn. 23.
 
400
Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 38 DSGVO (2019), Rn. 57, 58.
 
401
Siehe auch: Baumgartner/Hansch, ZD 2019, 99, 100; Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Gestaltung einer Datenschutzorganisation (2021), Rn. 150.
 
402
Schröder, in: Forgó/Helfrich/Schneider, Teil VI. Kap. 3. Präventive Compliance und Whistleblowing im Konzern (2019a) Rn. 83; siehe hierzu auch Renz/Frankenberger, ZD 2015, 158, 160.
 
403
Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 38 DSGVO (2019), Rn. 57.
 
404
Schröder, in: Forgó/Helfrich/Schneider, Teil VI. Kap. 3. Präventive Compliance und Whistleblowing im Konzern (2019a) Rn. 83.
 
405
Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 38 DSGVO (2019), Rn. 57.
 
406
Schröder, in: Forgó/Helfrich/Schneider, Teil VI. Kap. 3 Präventive Compliance und Whistleblowing im Konzern (2019a) Rn. 83.
 
407
v. d. Bussche/Raguse in: Plath, DSGVO BDSG TTDSG, Art. 38 DSGVO (2023), Rn. 42.
 
408
Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 38 DSGVO (2019), Rn. 57.
 
409
Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Gestaltung einer Datenschutzorganisation (2021), Rn. 151.
 
410
a.a.O.
 
411
v. d. Bussche/Raguse in: Plath, DSGVO BDSG TTDSG, Art. 38 DSGVO (2023), Rn. 42.
 
412
Marschall/Müller, ZD 2016, 415, 420.
 
413
v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 38 DSGVO (2023), Rn. 51.
 
414
Scheja, in: Taeger/Gabel, DSGVO BDSG TTDSG, § 6 BDSG (2022), Rn. 21.
 
415
Bergt/Schnebbe, in Kühling/Buchner, DSGVO BDSG, § 6 BDSG (2020), Rn. 17.
 
416
Heberlein, in: Ehmann/Selmayr, DSGVO, Art. 38 DSGVO (2018), Rn. 19, 20, 29.
 
417
v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 38 DSGVO (2023), Rn. 21.
 
418
v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 38 DSGVO (2023), Rn. 23.
 
419
Henssler, in: MüKoBGB, § 626 BGB (2023) Rn. 30, 83, 84.
 
420
Deutscher Bundestag (2017), Drucksache 18/11325, S. 108.
 
421
Thiel, in: Taeger/Gabel, DSGVO BDSG TTDSG, § 40 BDSG (2022), Rn. 30; Dix, in: Kühling/Buchner, DSGVO BDSG, § 40 BDSG (2020), Rn. 17; Greiner/Senk, NZA 2020, 201, 206.
 
422
Greiner/Senk, NZA 2020, 201, 207.
 
423
Wilhelm-Robertson, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 40 BDSG (45. Ed. 01.11.2021), Rn. 43.
 
424
Es stellt sich hierbei die Frage, ob der Datenschutzbeauftrage datenschutzrechtliche Verstöße des eigenen Unternehmens bei der Datenschutzbehörde melden muss. Es ist davon auszugehen, dass eine solche Meldung nur in Ausnahmefällen zu erfolgen hat, insbesondere wenn interne Maßnahmen nicht zu Behebung des Verstoßes führen, siehe: Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 39 DSGVO (45. Ed. 01.11.2021), Rn. 20; Paal, in: Paal/Pauly, DSGVO BDSG, Art. 39 DSGVO (2021), Rn. 8; Heberlein, in: Ehmann/Selmayr, DSGVO Art. 39 (2018) Rn. 19; Bergt, in: Kühling/Buchner, DSGVO BDSG, Art. 39 DSGVO (2020), Rn. 19.
 
425
Heberlein, in: Ehmann/Selmayr, DSGVO Art. 38 (2018) Rn. 21.
 
426
Art. 29 Datenschutzgruppe, WP 243 (2016), S. 16; Schefzig, ZD 2015, 503, 505.
 
427
Art. 29 Datenschutzgruppe, WP 243 (2016), S. 16.
 
428
Paal, in: Paal/Pauly, DSGVO BDSG, Art. 38 DSGVO (2021), Rn. 14; Art. 29 Datenschutzgruppe, WP 243 (2016), S. 16 ff.
 
429
Vgl. Garante, Ordinanza ingiunzione nei confronti di Comune di Villabate – 12 maggio 2022, abrufbar unter: https://​www.​gpdp.​it/​web/​guest/​home/​docweb/​-/​docweb-display/​docweb/​9781242, zuletzt aufgerufen am: 23.11.2023; so auch Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 20.09.2022 zu einem Bußgeld i.H.v. 525.000 € wegen eines Interessenkonflikts, aufrufbar unter https://​www.​datenschutz-berlin.​de/​fileadmin/​user_​upload/​pdf/​pressemitteilung​en/​2022/​20220920-BlnBDI-PM-Bussgeld-DSB.​pdf, zuletzt aufgerufen am: 23.11.2023.
 
430
Vgl. Garate, Ordinanza ingiunzione nei confronti di Comune di Policoro – 9 giugno 2022, abrufbar unter: https://​www.​gpdp.​it/​web/​guest/​home/​docweb/​-/​docweb-display/​docweb/​9794895, zuletzt aufgerufen am: 23.11.2023, wo der Datenschutzbeauftragter der Gemeinde auch gleichzeitig Anwalt der Gemeinde in Verfahren war, wo Datenschutzverstöße der Gemeinde durch betroffene Personen gerügt wurden.
 
431
Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 38 DSGVO (45. Ed. 01.11.2021), Rn. 36 (m.w.N.).
 
432
Moos, in: Wolff/Brink, BeckOK Datenschutzrecht, Art. 38 DSGVO (45. Ed. 01.11.2021), Rn. 36 (m.w.N.).
 
433
Art. 29 Datenschutzgruppe, WP 243 (2016), S. 16; Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 38 DSGVO (45. Ed. 01.11.2021), Rn. 36 (m.w.N.); vgl. BfDI, Die DSGVO in der Bundesverwaltung, S. 31; vgl. Belgische Datenschutzbehörde, décision quant au fond 141/2021 du 16 décembre 2021, Rn. 54 ff, aufrufbar unter https://​www.​autoriteprotecti​ondonnees.​be/​publications/​decision-quant-au-fond-n-141-2021.​pdf, zuletzt aufgerufen am: 23.11.2023.
 
434
Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 38 DSGVO (45. Ed. 01.11.2021), Rn. 36 (m.w.N.).
 
435
Siehe Abschn. 3.10.3 für weitere Einzelheiten.
 
436
Ausführungen entstammen größtenteils Art. 29 Datenschutzgruppe, WP 243 (2016), S. 16.
 
437
Bergt, in: Kühling/Buchner, DSGVO BDSG, Art. 38 DSGVO (2020), Rn. 26; v. d. Bussche/Raguse, in: Plath, DSGVO BDSG TTDSG, Art. 38 DSGVO (2023), Rn. 14; Paal, in: Paal/Pauly, DSGVO BDSG, Art. 38 DSGVO (2021), Rn. 9–9a.
 
438
Paal, in: Paal/Pauly, DSGVO BDSG, Art. 38 DSGVO (2021), Rn. 9; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Technischer und organisatorischer Datenschutz (2019), Rn. 18; v. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 1. Der Datenschutzbeauftragte (2019) Rn. 55.
 
439
Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 38 DSGVO (45. Ed. 01.11.2021), Rn. 20; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Technischer und organisatorischer Datenschutz (2019), Rn. 18; v. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, Teil 2. Kap. 1. Der Datenschutzbeauftragte (2019) Rn. 55, 27.
 
440
Bergt, in: Kühling/Buchner, DSGVO BDSG, Art. 38 DSGVO (2020), Rn. 26.
 
441
Bergt, in: Kühling/Buchner, DSGVO BDSG, Art. 38 DSGVO (2020), Rn. 26.
 
442
Siehe i. E. auch: v. d. Bussche in: Plath, DSGVO BDSG, Art. 38 DSGVO (2018), Rn. 11; a. A. Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 38 DSGVO (45. Ed. 01.11.2021), Rn. 20.
 
443
CIPL, Project Paper (2016), S. 21.
 
444
Luxemburgische Datenschutzbehörde, Beschluss Nr. 20FR/2021 v. 11.6.2021, abrufbar unter: https://​cnpd.​public.​lu/​content/​dam/​cnpd/​fr/​decisions-fr/​2021/​Decision-20FR-2021-sous-forme-anonymisee-.​pdf, zuletzt aufgerufen am: 23.11.2023; Luxemburgische Datenschutzbehörde, Beschluss Nr. 40FR/2021 v. 27.10.2021, abrufbar unter: https://​cnpd.​public.​lu/​content/​dam/​cnpd/​fr/​decisions-fr/​2021/​Decision-40FR-2021-sous-forme-anonymisee.​pdf, zuletzt aufgerufen am: 23.11.2023.
 
445
Scheja, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 38 DSGVO (2022), Rn. 27; Brodowski/Nowak, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 42 BDSG (01.08.2023), Rn. 15.
 
446
a.a.O.
 
447
Scheja, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 38 DSGVO (2022), Rn. 28.
 
448
Moos, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, Art. 38 DSGVO (45. Ed. 01.11.2021), Rn. 37–41; Eisele, in: Schönke/Schröder, § 203 StGB (2019), Rn. 99.
 
449
Quaas, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 83 BDSG (45. Ed. 01.02.2023), Rn. 24.
 
450
Quaas, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, § 83 BDSG (45. Ed. 01.02.2023), Rn. 31.
 
451
Bspw. nach deutschem Recht, dürften Verantwortliche Schadensersatzforderungen (unter sehr engen Voraussetzungen) gegen den Datenschutzbeauftragten geltend machen können.
 
452
Paal, in: Paal/Pauly, DSGVO BDSG, Art. 38 DSGVO (2021), Rn. 15a.
 
453
Zu den vorstehenden Ausführungen siehe Bergt, in: Kühling/Buchner, DSGVO BDSG, Art. 38 DSGVO (2020), Rn. 51–54.
 
454
Voigt/Drexler, ZD 2021, 409.
 
455
Vgl. Art. 4 Nr. 17 DSGVO und Art. 27 Abs. 4 DSGVO.
 
456
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 27 DSGVO (2021), Rn. 19.
 
457
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 27 DSGVO (2021), Rn. 27.
 
458
ErwGr. 80 DSGVO; Plath, in: Plath, DSGVO BDSG TTDSG, Art. 27 DSGVO (2023), Rn. 2.
 
459
Die zweite Ausnahme ist in Art. 27 Abs. 2 lit. b DSGVO geregelt, wonach Behörden oder öffentliche Stellen nicht zur Benennung eines Vertreters verpflichtet sind.
 
460
Martini, in: Paal/Pauly, DSGVO BDSG, Art. 27 DSGVO (2021), Rn. 35, 36.
 
461
Art. 13 Abs. 1 lit. a in Verbindung mit Art. 14 Abs. 1 lit.a DSGVO.
 
462
ErwGr. 80 DSGVO.
 
463
ErwGr. 80 DSGVO.
 
464
EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), Version 2.1(2019), S. 27, 28.
 
465
EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) Version 2.1 (2019), S, 27; a. A: Hanloser, in: Wolff/Brink/v. Ungern-Sternberg, Art. 27 DSGVO (45. Ed. 01.11.2021), Rn. 10 ff.
 
466
Vgl. ErwGr. 80 und Art. 27 Abs. 5 DSGVO.
 
467
Vgl. ErwGr. 80 DSGVO.
 
468
Zu den vorstehenden Ausführungen: Kremer, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO BDSG, Art. 27 DSGVO (2020), Rn. 89-92.
 
469
EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) Version 2.1 (2020), S, 24.
 
470
EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) Version 2.1 (2020), S, 31.
 
471
Kranig/Peintinger, ZD 2014, 3, 3.
 
472
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Selbstregulierung (2019), Rn. 1; EDPB, Guidelines 01/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, Version 2.0 (2019), Rn. 15.
 
473
EDPB, Guidelines 01/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, Version 2.0 (2019), Rn. 16.
 
474
EDPB, Guidelines 01/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, Version 2.0 (2021), Rn. 36; Wittmann/Ingenrieth, in: Plath, DSGVO BDSG TTDSG, Art. 40 DSGVO (2023), Rn. 8.
 
475
EDPB, Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation, Version 3.0 (2019), Rn. 11; Bergt, DSRITB 2016, 483, 496.
 
476
Wittmann/Ingerieth, in: Plath, DSGVO BDSG TTDSG, Art. 40 DSGVO (2023), Rn. 8.
 
477
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis (2019), § 8 Selbstregulierung, Rn. 2.
 
478
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis (2019), § 8 Selbstregulierung, Rn. 6.
 
479
Bergt, DSRITB 2016, 483, 485.
 
480
EDPB, Guidelines 01/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, Version 2.0 (2021), Rn. 1; Wittmann/Ingenrieth, in: Plath, DSGVO BDSG TTDSG, Art. 40 DSGVO (2023), Rn. 8.
 
481
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis (2019), § 8 Selbstregulierung, Rn. 5.
 
482
Wittmann/Ingenrieth, in: Plath, DSGVO BDSG TTDSG, Art. 40 DSGVO (2023), Rn. 10. In der Literatur umstritten: vgl. Paal/Kumkar, in: Paal/Pauly, DSGVO BDSG, Art. 40 DSGVO (2021) Rn. 11.
 
483
ErwGr. 99 DSGVO.
 
484
Paal/Kumkar, in: Paal/Pauly, DSGVO BDSG, Art. 40 DSGVO (2021), Rn. 18.
 
485
Paal/Kumkar, in: Paal/Pauly, DSGVO BDSG, Art. 40 DSGVO (2021), Rn. 18.
 
486
EDPB, Guidelines 01/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (2019), Rn. 3.
 
487
Den Text der jeweiligen Verhaltensregeln und eine (nicht abschließende) Auflistung weiterer Verhaltensregeln findet sich unter https://​edpb.​europa.​eu/​our-work-tools/​accountability-tools/​register-codes-conduct-amendments-and-extensions-art-4011_​en, zuletzt aufgerufen am: 23. November 2023.
 
488
Für Regelungen zur Zuständigkeit der Aufsichtsbehörden siehe Art. 51 ff. DSGVO.
 
489
Art. 40 Abs. 5 S. 2 DSGVO.
 
490
Art. 40 Abs. 6 DSGVO.
 
491
Art. 40 Abs. 7 DSGVO.
 
492
Art. 40 Abs. 8 DSGVO.
 
493
Art. 41 DSGVO findet keine Anwendung auf Verarbeitungstätigkeiten, die von öffentlichen Behörden und Einrichtungen ausgeführt werden, 41 Abs. 6 DSGVO.
 
494
Einige Autoren halten die Akkreditierung für eine Pflicht der Aufsichtsbehörde, siehe Paal/Kumkar, in: Paal/Pauly, DSGVO BDSG, Art. 41 DSGVO (2021), Rn. 5; andere sehen sie als optionales Überwachungsinstrument, siehe Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Selbstregulierung (2019), Rn. 15.
 
495
Art. 40 Abs. 4 DSGVO.
 
496
Für weitere Einzelheiten siehe Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Selbstregulierung (2019), Rn. 16.
 
497
Art. 41 Abs. 5 DSGVO.
 
498
Kranig/Peintinger, ZD 2014, 3, 4; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Selbstregulierung (2019), Rn. 19.
 
499
Wittmann/Ingenrieth, in: Plath, DSGVO BDSG TTDSG, Art. 40 DSGVO (2023), Rn. 21; Kinast, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 40 DSGVO (2022), Rn. 54.
 
500
Wittmann/Ingenrieth, in: Plath, DSGVO BDSG TTDSG, Art. 40 DSGVO (2023), Rn. 21; Kinast, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 40 DSGVO (2022), Rn. 54.
 
501
ErwGr. 100 DSGVO.
 
502
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Selbstregulierung (2019), Rn. 28.
 
503
Paal/Kumklar, in: Paal/Pauly, DSGVO BDSG, Art. 42 DSGVO (2021), Rn. 6.
 
504
Paal/Kumklar, in: Paal/Pauly, DSGVO BDSG, Art. 42 DSGVO (2021), Rn. 6; Bergt, DSRITB 2016, 483, 496.
 
505
Art. 42 Abs. 4 DSGVO.
 
506
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Selbstregulierung (2019), Rn. 41–43.
 
507
EDPB, Opinion 28/2022 on the Europrivacy criteria of certification regarding their approval by the Board as EuropeanData Protection Seal pursuant to Article 42.5 (GDPR), rec. 25, 26.
 
508
https://​www.​ldi.​nrw.​de/​datenschutz/​wirtschaft/​verzeichnisgeneh​migterzertifizie​rungskriterien, last accessed on: 23 November 2023; EuroPriSe Cert GmbH press release dated 07 October 2022, available at: https://www.euprivacyseal.com/wp‑content/uploads/2023/01/20221007_Pressemitteilung_Genehmigung-Kriterienkatalog_DE.pdf, last accessed on: 23 November 2023.
 
509
Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Selbstregulierung (2019), Rn. 41–43.
 
510
Zudem kann die Europäische Kommission Durchführungsrechtsakte erlassen, die die Voraussetzungen der Zertifizierungsverfahren präzisieren, siehe Art. 43 Abs. 8, 9 DSGVO
 
511
Art. 42 Abs. 5 DSGVO.
 
512
Art. 42 Abs. 7 S. 1 DSGVO.
 
513
Art. 42 Abs. 7 S. 2 DSGVO.
 
514
Oder, soweit benannt, einer nationalen Akkreditierungsstelle, siehe Art. 43 Abs. 1 DSGVO.
 
515
Art. 43 Abs. 4 S. 2 DSGVO.
 
516
Art. 43 Abs. 3, 6 DSGVO. Diese Anforderungen werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht und an den Europäischen Datenschutzausschuss übermittelt.
 
517
Art. 43 Abs. 7 DSGVO.
 
518
Art. 43 Abs. 1, 4 S. 1, 5 DSGVO.
 
Literatur
Zurück zum Zitat Art. 29 Datenschutzgruppe (2010a) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 (zitiert nach englischem Original) Art. 29 Datenschutzgruppe (2010a) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 (zitiert nach englischem Original)
Zurück zum Zitat Art. 29 Datenschutzgruppe (2010b) Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht, WP 173 (zitiert nach englischem Original) Art. 29 Datenschutzgruppe (2010b) Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht, WP 173 (zitiert nach englischem Original)
Zurück zum Zitat Art. 29 Datenschutzgruppe (2014) Erklärung über die Rolle eines risikobasierten Ansatzes im Datenschutz, WP 218 (zitiert nach englischem Original) Art. 29 Datenschutzgruppe (2014) Erklärung über die Rolle eines risikobasierten Ansatzes im Datenschutz, WP 218 (zitiert nach englischem Original)
Zurück zum Zitat Art. 29 Datenschutzgruppe (2016) Leitlinien in Bezug auf Datenschuzubeauftragte („DSB“), WP 243 (zitiert nach dem englischem Original) Art. 29 Datenschutzgruppe (2016) Leitlinien in Bezug auf Datenschuzubeauftragte („DSB“), WP 243 (zitiert nach dem englischem Original)
Zurück zum Zitat Art. 29 Datenschutzgruppe (2017a) Leitlinie zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/697 „wahrscheinlich ein hohes Risiko mit sich bringt“, WP 248 (zitiert nach englischem Original) Art. 29 Datenschutzgruppe (2017a) Leitlinie zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/697 „wahrscheinlich ein hohes Risiko mit sich bringt“, WP 248 (zitiert nach englischem Original)
Zurück zum Zitat Art. 29 Datenschutzgruppe (2017b) Leitlinien in Bezug auf Datenschutzbeauftrage („DSB“), WP 243 (zitiert nach englischem Original) Art. 29 Datenschutzgruppe (2017b) Leitlinien in Bezug auf Datenschutzbeauftrage („DSB“), WP 243 (zitiert nach englischem Original)
Zurück zum Zitat Art. 29 Datenschutzgruppe (2018) Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, WP 250 (zitiert nach englischem Original) Art. 29 Datenschutzgruppe (2018) Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, WP 250 (zitiert nach englischem Original)
Zurück zum Zitat Barlag C (2017) Datenschutz durch Technikgestaltung. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden Barlag C (2017) Datenschutz durch Technikgestaltung. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Baumgartner U (2018) Art. 25 DSGVO. In: Ehmann E, Selmayr M (Hrsg) Datenschutz-Grundverordnung, 2. Aufl. C.H. Beck, München Baumgartner U (2018) Art. 25 DSGVO. In: Ehmann E, Selmayr M (Hrsg) Datenschutz-Grundverordnung, 2. Aufl. C.H. Beck, München
Zurück zum Zitat Baumgartner U, Hansch G (2019) Der betriebliche Datenschutzbeauftragte. ZD 9(3):99–103 Baumgartner U, Hansch G (2019) Der betriebliche Datenschutzbeauftragte. ZD 9(3):99–103
Zurück zum Zitat Bayerische Landesbeauftrage für den Datenschutz (2019) Meldepflicht und Benachrichtigungspflicht des Verantwortlichen: Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung Orientierungshilfe Bayerische Landesbeauftrage für den Datenschutz (2019) Meldepflicht und Benachrichtigungspflicht des Verantwortlichen: Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung Orientierungshilfe
Zurück zum Zitat Bergt M (2016) Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutz- Grundverordnung. DSRITB 7:483–500 Bergt M (2016) Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutz- Grundverordnung. DSRITB 7:483–500
Zurück zum Zitat Braun S (2021) Vorherige Konsultation der Datenschutzaufsicht nach Folgeabschätzung. ZD 11(6):297–302 Braun S (2021) Vorherige Konsultation der Datenschutzaufsicht nach Folgeabschätzung. ZD 11(6):297–302
Zurück zum Zitat Brink S (01.02.2022) Art. 34 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Brink S (01.02.2022) Art. 34 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Brodowski D, Nowak D (01.08.2023) § 42 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Brodowski D, Nowak D (01.08.2023) § 42 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat von dem Bussche AF (2019) Der Datenschutzbeauftragte. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München von dem Bussche AF (2019) Der Datenschutzbeauftragte. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München
Zurück zum Zitat von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – implementing the EU general data protection regulation: a business perspective. EDPL 2(4):576–581 von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – implementing the EU general data protection regulation: a business perspective. EDPL 2(4):576–581
Zurück zum Zitat Conrad I (2019) Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 3. Aufl. C.H. Beck, München Conrad I (2019) Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Datenschutzkonferenz (2018a) Hinweise zum Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO Datenschutzkonferenz (2018a) Hinweise zum Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO
Zurück zum Zitat Datenschutzkonferenz (2018b) Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO Datenschutzkonferenz (2018b) Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO
Zurück zum Zitat Datenschutzkonferenz (2018c) Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung – Art. 35 DSGVO Datenschutzkonferenz (2018c) Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung – Art. 35 DSGVO
Zurück zum Zitat Deutscher Bundestag (2017) Drucksache 18/11325 Deutscher Bundestag (2017) Drucksache 18/11325
Zurück zum Zitat Dix A (2020) § 40 BDSG. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München Dix A (2020) § 40 BDSG. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Dovas M-U (2016) Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? ZD 6(11):512–517 Dovas M-U (2016) Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? ZD 6(11):512–517
Zurück zum Zitat Drewes S (2019) Art. 37, 38 DSGVO. In: Simitis S, Hornung G, Spiecker gen. Döhmann (Hrsg), Datenschutzrecht DSGVO mit BDSG, 1. Aufl. Nomos, Baden-Baden Drewes S (2019) Art. 37, 38 DSGVO. In: Simitis S, Hornung G, Spiecker gen. Döhmann (Hrsg), Datenschutzrecht DSGVO mit BDSG, 1. Aufl. Nomos, Baden-Baden
Zurück zum Zitat EDPB, Guidelines (04/2019) on Article 25 Data Protection by Design and by Default, Version 2.0 (2020) EDPB, Guidelines (04/2019) on Article 25 Data Protection by Design and by Default, Version 2.0 (2020)
Zurück zum Zitat EDPB, Guidelines (07/2020) on the concepts of controller and processor in the GDPR, Version 2.1 (2021) EDPB, Guidelines (07/2020) on the concepts of controller and processor in the GDPR, Version 2.1 (2021)
Zurück zum Zitat EDPB, Guidelines (01/2021) on Examples regarding Personal Data Breach Notification, Version 2.0 (2021) EDPB, Guidelines (01/2021) on Examples regarding Personal Data Breach Notification, Version 2.0 (2021)
Zurück zum Zitat EDPB, Guidelines (9/2022) on personal data breach notification under GDPR, Version 2.0 (2023) EDPB, Guidelines (9/2022) on personal data breach notification under GDPR, Version 2.0 (2023)
Zurück zum Zitat Egle M, Zeller A (2019) Datenschutzmanagement im Konzern. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München Egle M, Zeller A (2019) Datenschutzmanagement im Konzern. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München
Zurück zum Zitat Eisele J (2019) § 203 StGB. In: Schönke A, Schröder H (Hrsg) Strafgesetzbuch, 30. Aufl. C.H. Beck, München Eisele J (2019) § 203 StGB. In: Schönke A, Schröder H (Hrsg) Strafgesetzbuch, 30. Aufl. C.H. Beck, München
Zurück zum Zitat Ernst S (2021) Art. 4 DSGVO. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München Ernst S (2021) Art. 4 DSGVO. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Franck L (2020) Art. 33 DSGVO. In: Schwartmann R, Jaspers A, Thüsing G, Kugelmann D (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. C.F. Müller, Heidelberg Franck L (2020) Art. 33 DSGVO. In: Schwartmann R, Jaspers A, Thüsing G, Kugelmann D (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. C.F. Müller, Heidelberg
Zurück zum Zitat Gabel D, Lutz H (2022) Art. 28 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Gabel D, Lutz H (2022) Art. 28 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55 Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55
Zurück zum Zitat Gierschmann S (2020) Gemeinsame Verantwortlichkeit in der Praxis. ZD 10(2):69–73 Gierschmann S (2020) Gemeinsame Verantwortlichkeit in der Praxis. ZD 10(2):69–73
Zurück zum Zitat Gola P, Klug C (2007) Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter. NJW 60(3):118–122 Gola P, Klug C (2007) Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter. NJW 60(3):118–122
Zurück zum Zitat Gräber T, Nolden C (2021) § 29 BDSG. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München Gräber T, Nolden C (2021) § 29 BDSG. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Grages J-M (2023) Art. 32, 33, 34 DSGVO. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln Grages J-M (2023) Art. 32, 33, 34 DSGVO. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln
Zurück zum Zitat Greiner S, Senk C (2020) Der Datenschutzbeauftragte und sein Schutz vor Benachteiligung, Abberufung und Kündigung – Ein Wegweiser durch DSGVO und BDSG. NZA 37(4):201–209 Greiner S, Senk C (2020) Der Datenschutzbeauftragte und sein Schutz vor Benachteiligung, Abberufung und Kündigung – Ein Wegweiser durch DSGVO und BDSG. NZA 37(4):201–209
Zurück zum Zitat Haag NC (2019) Datenschutzmanagement und Datenschutzprozesse. In: Forgó N, Helfrich M, Schneider J (Hrsg) Betrieblicher Datenschutz, 3. Aufl. C.H. Beck, München Haag NC (2019) Datenschutzmanagement und Datenschutzprozesse. In: Forgó N, Helfrich M, Schneider J (Hrsg) Betrieblicher Datenschutz, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Hanloser S (01.11.2021) Art. 27 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Hanloser S (01.11.2021) Art. 27 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Hansen M (2019) Art. 25, 32 DSGVO. In: Simitis/Hornung/Spiecker gen. Döhmann I (Hrsg), Datenschutzrecht DSGVO mit BDSG, 1. Aufl. Nomos, Baden-Baden Hansen M (2019) Art. 25, 32 DSGVO. In: Simitis/Hornung/Spiecker gen. Döhmann I (Hrsg), Datenschutzrecht DSGVO mit BDSG, 1. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Hansen M (01.11.2021) Art. 35, 36 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl, C.H. Beck, München Hansen M (01.11.2021) Art. 35, 36 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl, C.H. Beck, München
Zurück zum Zitat Härting N (2016) Auftragsverarbeitung nach der DSGVO. ITRB 15(6):137–140 Härting N (2016) Auftragsverarbeitung nach der DSGVO. ITRB 15(6):137–140
Zurück zum Zitat Hartung J (2020) Art. 4, 25, 28, 30 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München Hartung J (2020) Art. 4, 25, 28, 30 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Heberlein H (2018) Art. 38 DSGVO, In: Ehmann E/Selmayr M (Hrsg), Datenschutz-Grundverordnung, 2. C.H. Beck, München Heberlein H (2018) Art. 38 DSGVO, In: Ehmann E/Selmayr M (Hrsg), Datenschutz-Grundverordnung, 2. C.H. Beck, München
Zurück zum Zitat Helfrich M (2022) Art. 37 DSGVO. In: Sydow G, Marsch N (Hrsg) DSGVO BDSG, 3. Aufl. Nomos, Baden-Baden Helfrich M (2022) Art. 37 DSGVO. In: Sydow G, Marsch N (Hrsg) DSGVO BDSG, 3. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Henssler M (2023) § 626 BGB. In: Säcker FJ, Rixecker R, Oetker H, Limperg B (Hrsg) Münchener Kommentar zum Bürgerlichen Gesetzbuch, 9. Aufl. C.H. Beck, München Henssler M (2023) § 626 BGB. In: Säcker FJ, Rixecker R, Oetker H, Limperg B (Hrsg) Münchener Kommentar zum Bürgerlichen Gesetzbuch, 9. Aufl. C.H. Beck, München
Zurück zum Zitat Herbst T (2020) Art. 5 DSGVO, § 29 BDSG. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München Herbst T (2020) Art. 5 DSGVO, § 29 BDSG. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Hessel S, Potel K (2021) Aktuelle Entwicklungen bei der datenschutzrechtlichen Bewertung von Sicherheitsvorfällen. DSRITB 2021:279–289 Hessel S, Potel K (2021) Aktuelle Entwicklungen bei der datenschutzrechtlichen Bewertung von Sicherheitsvorfällen. DSRITB 2021:279–289
Zurück zum Zitat Hoeren T (2012) Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO. ZD 2(8):355–358 Hoeren T (2012) Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO. ZD 2(8):355–358
Zurück zum Zitat Hullen N (2019) Verhaltensregeln und Zertifizierung. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München Hullen N (2019) Verhaltensregeln und Zertifizierung. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München
Zurück zum Zitat Hullen N, Krohm N (2023) § 38 BDSG. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln Hullen N, Krohm N (2023) § 38 BDSG. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln
Zurück zum Zitat Jandt S (2020) Art. 4. Nr. 12, 32, 33, 35, 36 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München Jandt S (2020) Art. 4. Nr. 12, 32, 33, 35, 36 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Jaspers A, Reif Y (2016) Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben. RdV 32(2):61–68 Jaspers A, Reif Y (2016) Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben. RdV 32(2):61–68
Zurück zum Zitat Jaspers A, Reif Y (2020) Art. 38 DSGVO. In: Schwartmann R, Jaspers A, Thüsing G, Kugelmann D (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. C.F. Müller, Heidelberg Jaspers A, Reif Y (2020) Art. 38 DSGVO. In: Schwartmann R, Jaspers A, Thüsing G, Kugelmann D (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. C.F. Müller, Heidelberg
Zurück zum Zitat Jung A (2018) Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO. ZD 9(5):208–213 Jung A (2018) Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO. ZD 9(5):208–213
Zurück zum Zitat Jungkind V (01.11.2021) Art. 40 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Jungkind V (01.11.2021) Art. 40 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Keber T (2022) Updating Art. 25 DSGVO – Aktuelle Entwicklungen und Bußgeldpraxis zum Datenschutz durch Technikgestaltung. RdV 38(2):70–75 Keber T (2022) Updating Art. 25 DSGVO – Aktuelle Entwicklungen und Bußgeldpraxis zum Datenschutz durch Technikgestaltung. RdV 38(2):70–75
Zurück zum Zitat Kinast K (2022) Art. 40 DSGVO, § 38 BDSG. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Kinast K (2022) Art. 40 DSGVO, § 38 BDSG. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Koglin O (2019) Datenschutz-Folgenabschätzung nebst vorheriger Konsultation. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München Koglin O (2019) Datenschutz-Folgenabschätzung nebst vorheriger Konsultation. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München
Zurück zum Zitat Kranig T, Peintinger S (2014) Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DSGVO. ZD 4(1):3–9 Kranig T, Peintinger S (2014) Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DSGVO. ZD 4(1):3–9
Zurück zum Zitat Kremer S (2019a) § 5 Auftragsverarbeitung und Verarbeitung im Drittland, § 6 Datenschutzbeauftragter. In: Laue P, Kremer S (Hrsg) Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. Nomos, Baden-Baden Kremer S (2019a) § 5 Auftragsverarbeitung und Verarbeitung im Drittland, § 6 Datenschutzbeauftragter. In: Laue P, Kremer S (Hrsg) Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Kremer S (2019b) Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung? CR 35(4):225–234 Kremer S (2019b) Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung? CR 35(4):225–234
Zurück zum Zitat Kremer S (2020) Art. 27 DSGVO. In: Schwartmann R, Jaspers A, Thüsing G, Kugelmann D (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. C.F. Müller, Heidelberg Kremer S (2020) Art. 27 DSGVO. In: Schwartmann R, Jaspers A, Thüsing G, Kugelmann D (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. C.F. Müller, Heidelberg
Zurück zum Zitat Kühling J, Sackmann F (2020) § 38 BDSG. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München Kühling J, Sackmann F (2020) § 38 BDSG. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung BDSG, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Lachenmann M (2021) Form A. I. In: Koreng A, Lachenmann M (Hrsg) Formularhandbuch Datenschutzrecht, 3. Aufl. C.H. Beck, München Lachenmann M (2021) Form A. I. In: Koreng A, Lachenmann M (Hrsg) Formularhandbuch Datenschutzrecht, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Lang M (2022) Art. 24, 25, 26 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Lang M (2022) Art. 24, 25, 26 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Laue P (2019) § 7 Technischer und Organisatorischer Datenschutz, § 8 Selbstregulierung. In: Laue P, Kremer S (Hrsg) Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. Nomos, Baden-Baden Laue P (2019) § 7 Technischer und Organisatorischer Datenschutz, § 8 Selbstregulierung. In: Laue P, Kremer S (Hrsg) Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Lezzi L, Oberlin JS (2018) Gemeinsam Verantwortliche in der konzerninternen Datenverarbeitung. ZD 9(9):398–404 Lezzi L, Oberlin JS (2018) Gemeinsam Verantwortliche in der konzerninternen Datenverarbeitung. ZD 9(9):398–404
Zurück zum Zitat Louven S (2022) § 29 BDSG. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Louven S (2022) § 29 BDSG. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Mallmann O (2014) § 19 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Mallmann O (2014) § 19 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Mantz R (2022) Art. 32 DSGVO. In: Sydow G, Marsch N (Hrsg) DSGVO BDSG, 3. Aufl. Nomos, Baden-Baden Mantz R (2022) Art. 32 DSGVO. In: Sydow G, Marsch N (Hrsg) DSGVO BDSG, 3. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Marschall K, Müller P (2016) Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen. ZD 6(9):415–420 Marschall K, Müller P (2016) Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen. ZD 6(9):415–420
Zurück zum Zitat Martini M (2021) Art. 24, 25, 26, 27, 28, 30, 31, 32, 33, 35 DSGVO. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München Martini M (2021) Art. 24, 25, 26, 27, 28, 30, 31, 32, 33, 35 DSGVO. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Moos F (01.11.2021) Art. 38, 39 DSGVO, § 38 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Moos F (01.11.2021) Art. 38, 39 DSGVO, § 38 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Paal BP (2021) Art. 36, 37, 38, 39. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München Paal BP (2021) Art. 36, 37, 38, 39. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Paal BP, Kumkar LK (2021) 40, 41, 42 DSGVO. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München Paal BP, Kumkar LK (2021) 40, 41, 42 DSGVO. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Pauly DA (2021) § 38 BDSG. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München Pauly DA (2021) § 38 BDSG. In: Paal BP, Pauly DA (Hrsg) Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Plath K-U (2023) Art. 6, 25, 26, 27, 28 DSGVO; § 28 BDSG. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln Plath K-U (2023) Art. 6, 25, 26, 27, 28 DSGVO; § 28 BDSG. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln
Zurück zum Zitat Quaas S (01.02.2023) § 83 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Quaas S (01.02.2023) § 83 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Reibach B (2022) Art. 35 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Reibach B (2022) Art. 35 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Renz HT, Frankenberger M (2015) Compliance und Datenschutz – Ein Vergleich der Funktionen unter Berücksichtigung eines risikobasierten Ansatzes. ZD 5(4):158–161 Renz HT, Frankenberger M (2015) Compliance und Datenschutz – Ein Vergleich der Funktionen unter Berücksichtigung eines risikobasierten Ansatzes. ZD 5(4):158–161
Zurück zum Zitat Reuter W, Voigt P (2022) Die neuen EU-Standardvertragsklauseln – Best Practice. DSB 12(11):309–312 Reuter W, Voigt P (2022) Die neuen EU-Standardvertragsklauseln – Best Practice. DSB 12(11):309–312
Zurück zum Zitat Roßnagel A (2019) Art. 5 DSGVO. In: Simitis, Hornung, Spiecker gen. Döhmann I (Hrsg), Datenschutzrecht DSGVO mit BDSG, 1. Aufl. Nomos, Baden-Baden Roßnagel A (2019) Art. 5 DSGVO. In: Simitis, Hornung, Spiecker gen. Döhmann I (Hrsg), Datenschutzrecht DSGVO mit BDSG, 1. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Roßnagel A, Richter P, Nebel M (2013) Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DS-GVO. ZD 3(3):103–108 Roßnagel A, Richter P, Nebel M (2013) Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DS-GVO. ZD 3(3):103–108
Zurück zum Zitat Schantz P (2017) Berufsgeheimnisträger. In: Schantz P, Wolff HA (Hrsg) Das neue Datenschutzrecht. C.H. Beck, München Schantz P (2017) Berufsgeheimnisträger. In: Schantz P, Wolff HA (Hrsg) Das neue Datenschutzrecht. C.H. Beck, München
Zurück zum Zitat Schantz P (01.11.2021) Art. 5 DSGVO. In: Wolff HA, Brink S, von Untern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Schantz P (01.11.2021) Art. 5 DSGVO. In: Wolff HA, Brink S, von Untern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Schefzig J (2015) Der Datenschutzbeauftragte in der betrieblichen Datenschutzorganisation – Konflikt zwischen Zuverlässigkeit und datenschutzrechtlicher Verantwortung. ZD 5(11):503–507 Schefzig J (2015) Der Datenschutzbeauftragte in der betrieblichen Datenschutzorganisation – Konflikt zwischen Zuverlässigkeit und datenschutzrechtlicher Verantwortung. ZD 5(11):503–507
Zurück zum Zitat Schefzig J (2021) Gestaltung einer Datenschutzorganisation. In: Moos F, Schefzig J, Arning M (Hrsg) Praxishandbuch DSGVO, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Schefzig J (2021) Gestaltung einer Datenschutzorganisation. In: Moos F, Schefzig J, Arning M (Hrsg) Praxishandbuch DSGVO, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Scheja G (2022) Art. 37, 38 DSGVO, § 6 BDSG. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Scheja G (2022) Art. 37, 38 DSGVO, § 6 BDSG. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Scheja G, Reibach B, Reichert F (2021) Schutz personenbezogener Daten im Rahmen eines Datenschutzkonzepts. In: Leupold A, Wiebe A, Glossner S (Hrsg) IT-Recht, 4. Aufl. C.H. Beck, München Scheja G, Reibach B, Reichert F (2021) Schutz personenbezogener Daten im Rahmen eines Datenschutzkonzepts. In: Leupold A, Wiebe A, Glossner S (Hrsg) IT-Recht, 4. Aufl. C.H. Beck, München
Zurück zum Zitat Schmid G, Kahl T (2017) Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten. ZD 7(2):54–57 Schmid G, Kahl T (2017) Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten. ZD 7(2):54–57
Zurück zum Zitat Schmitz B, von Dall’Armi J (2017) Datenschutz-Folgenabschätzung – verstehen und anwenden. ZD 7(2):57–64 Schmitz B, von Dall’Armi J (2017) Datenschutz-Folgenabschätzung – verstehen und anwenden. ZD 7(2):57–64
Zurück zum Zitat Scholz P (2014) § 3a BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Scholz P (2014) § 3a BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Schreiber L (2023) Art. 4 DSGVO. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln Schreiber L (2023) Art. 4 DSGVO. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln
Zurück zum Zitat Schröder C (2019a) Präventive Compliance und Whistleblowing im Konzern. In: Forgó N, Helfrich M, Schneider J (Hrsg) Betrieblicher Datenschutz Rechtshandbuch, 3. Aufl. C.H. Beck, München Schröder C (2019a) Präventive Compliance und Whistleblowing im Konzern. In: Forgó N, Helfrich M, Schneider J (Hrsg) Betrieblicher Datenschutz Rechtshandbuch, 3. Aufl. C.H. Beck, München
Zurück zum Zitat Schröder M (2019b) Der risikobasierte Ansatz in der DS-GVO. ZD 9(11):503–506 Schröder M (2019b) Der risikobasierte Ansatz in der DS-GVO. ZD 9(11):503–506
Zurück zum Zitat Schultze-Melling J (2022) Art. 30, 32 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Schultze-Melling J (2022) Art. 30, 32 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Schweinoch M (2018) Art. 40 DSGVO. In: Ehmann E, Selmayr M (Hrsg) Datenschutz-Grundverordnung, 2. Aufl. C.H. Beck, München Schweinoch M (2018) Art. 40 DSGVO. In: Ehmann E, Selmayr M (Hrsg) Datenschutz-Grundverordnung, 2. Aufl. C.H. Beck, München
Zurück zum Zitat Simitis S (2014) § 4 f BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Simitis S (2014) § 4 f BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Spoerr W (01.05.2022) Art. 28, 30 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Spoerr W (01.05.2022) Art. 28, 30 DSGVO. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Thiel B (2022) § 40 BDSG. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Thiel B (2022) § 40 BDSG. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Thoma F (2013) Risiko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DS-GVO-E. ZD 3(11):578–581 Thoma F (2013) Risiko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DS-GVO-E. ZD 3(11):578–581
Zurück zum Zitat Uwer D (01.08.2023) § 29 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Uwer D (01.08.2023) § 29 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’scher Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Voigt P (2016) Dauerbrenner IT-Sicherheit – Nun macht Brüssel Druck. MMR 19(7):429–430 Voigt P (2016) Dauerbrenner IT-Sicherheit – Nun macht Brüssel Druck. MMR 19(7):429–430
Zurück zum Zitat Voigt P (2017) Konzerninterner Datentransfer, Praxisanleitung zur Schaffung eines Konzernprivilegs. CR 33(7):428–433 Voigt P (2017) Konzerninterner Datentransfer, Praxisanleitung zur Schaffung eines Konzernprivilegs. CR 33(7):428–433
Zurück zum Zitat Voigt P (2019) Rechenschaftspflicht; Grundsätze der Verarbeitung nach der DSGVO; Technischer Datenschutz. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München Voigt P (2019) Rechenschaftspflicht; Grundsätze der Verarbeitung nach der DSGVO; Technischer Datenschutz. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 2. Aufl. C.H. Beck, München
Zurück zum Zitat Voigt P (2022) Art. 5 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Voigt P (2022) Art. 5 DSGVO. In: Taeger J, Gabel D (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Voigt P (2024) Art. 4 Nr. 8, Art. 28 DSGVO. In: Gierschmann S, Schlender K, Stentzel R, Veil W (Hrsg) Kommentar Datenschutz-Grundverordnung, 2. Aufl. Reguvis, Köln Voigt P (2024) Art. 4 Nr. 8, Art. 28 DSGVO. In: Gierschmann S, Schlender K, Stentzel R, Veil W (Hrsg) Kommentar Datenschutz-Grundverordnung, 2. Aufl. Reguvis, Köln
Zurück zum Zitat Voigt P, Drexler N (2021) EU- und UK-Datenschutzvertreter nach dem Brexit. ZD 11(8):409-413 Voigt P, Drexler N (2021) EU- und UK-Datenschutzvertreter nach dem Brexit. ZD 11(8):409-413
Zurück zum Zitat Voigt P, Falk L (2023) Der Cyber Resilience Act. MMR 26(2):88–93 Voigt P, Falk L (2023) Der Cyber Resilience Act. MMR 26(2):88–93
Zurück zum Zitat Völkel C (2015) Wearables und Gesundheitsdaten: Möglichkeiten und Grenzen zur cloudbasierten Nutzung durch Ärzte und Krankenversicherungen aus datenschutzrechtlicher Sicht. DSRITB 2015:35–52 Völkel C (2015) Wearables und Gesundheitsdaten: Möglichkeiten und Grenzen zur cloudbasierten Nutzung durch Ärzte und Krankenversicherungen aus datenschutzrechtlicher Sicht. DSRITB 2015:35–52
Zurück zum Zitat Wilhelm-Robertson M (01.11.2021) § 40 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’sche Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München Wilhelm-Robertson M (01.11.2021) § 40 BDSG. In: Wolff HA, Brink S, von Ungern-Sternberg A (Hrsg), Beck’sche Online-Kommentar Datenschutzrecht, 45. Aufl. C.H. Beck, München
Zurück zum Zitat Wittmann J, Ingenrieth F (2023) § 40. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln Wittmann J, Ingenrieth F (2023) § 40. In: Plath K-U (Hrsg) DSGVO BDSG TTDSG, 4. Aufl. Dr. Otto Schmidt, Köln
Zurück zum Zitat Wybitul T, Draf O (2016) Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung im Unternehmen. BB 25(35):2101–2107 Wybitul T, Draf O (2016) Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung im Unternehmen. BB 25(35):2101–2107
Metadaten
Titel
Anforderungen an die Datenschutzorganisation
verfasst von
Paul Voigt
Axel von dem Bussche
Copyright-Jahr
2024
Verlag
Springer Berlin Heidelberg
DOI
https://doi.org/10.1007/978-3-662-68820-5_3