reading

Per Meyerdierks, Senior Privacy Counsel und Syndikusrechtsanwalt bei Google in Hamburg. Er ist seit 2005 als Rechtsanwalt und seit 2017 als Syndikusrechtsanwalt zugelassen. Nachdem er zunächst in der Rechtsabteilung der Lycos Europe GmbH tätig war, berät er seit 2007 Google in allen Fragen des Datenschutzrechts mit Fokus auf die an Unternehmen gerichteten Cloud-Dienste. Er ist zudem Ansprechpartner für die Datenschutzaufsichtsbehörden in mehreren Ländern einschließlich Deutschlands. Per Meyerdierks hat diverse Fachbeiträge zum Datenschutzrecht verfasst und tritt regelmäßig als Referent zu diesem Thema auf.

Dr. Flemming Moos, Fachanwalt für IT-Recht und Partner in der Kanzlei Osborne Clarke am Standort Hamburg. Er ist seit 2001 als Rechtsanwalt zugelassen und war seither im Bereich des IT- und Datenschutzrechts in unterschiedlichen internationalen Kanzleien tätig. Dr. Moos leitet die internationale Data Privacy Service Line bei Osborne Clarke und hat im Datenschutzrecht einen Branchenfokus in den Bereichen Retail, Digital Business sowie Life Science & Healthcare. Schwerpunkte seiner Beratung liegen in Datenschutz-Complianceprojekten, in der Vertretung in komplexen Gerichts- und Behördenverfahren und in der Begleitung datengetriebener Digitalisierungsvorhaben. Er ist Mitglied der International Association of Privacy Professionals (IAPP) und leitet aktuell deren Hamburg KnowledgeNet. Dr. Moos hat diverse Bücher und Fachbeiträge zum Datenschutzrecht verfasst; er tritt regelmäßig als Referent auf den führenden Datenschutzkongressen auf.

Leif Rohwedder, Rechtsanwalt und Senior Legal Counsel in der Konzernrechtsabteilung von Telefónica Deutschland am Standort Hamburg. Er ist seit 2001 als Rechtsanwalt zugelassen und schwerpunktmäßig im Gewerblichen Rechtsschutz, Datenschutzrecht und Vertragsrecht tätig. Bei Telefónica zählt die Vertragsgestaltung und rechtliche Beratung bei der Konzeption von Werbemaßnahmen für die Marke O₂ zu seinen Aufgaben. Daneben doziert er seit 2009 als Referent für Lehrgänge zum Datenschutz in den Gebieten Permission-Management und Datenschutz bei Telemedien. Leif Rohwedder ist außerdem Mitautor eines Formularhandbuchs für Datennutzungs- und Datenschutzverträge.

Dr. Tobias Rothkegel, Rechtsanwalt in der Kanzlei Osborne Clarke am Standort Hamburg. Er ist seit 2016 als Rechtsanwalt zugelassen und im Bereich des IT- und Datenschutzrechts tätig. Ferner berät er zu den rechtlichen Aspekten von Cyber-Security und Blockchain. Herr Rothkegel hat einen Branchenfokus in den Bereichen Life Science und Financial Services und berät dabei internationale Großkonzerne, mittelständische Unternehmen als auch Start-Ups zu sämtlichen Aspekten des Datenschutzrechts und -managements und der Datennutzung sowie rechtlichen Fragenstellungen rund um Cyber-Security und Blockchain. Er hat an zahlreichen Veröffentlichungen im Bereich des Datenschutzrechts sowohl in führenden Fachzeitschriften als auch in juristischen Handbüchern und Kommentaren mitgewirkt.

Dr. Jens Schefzig, Rechtsanwalt und Partner in der Kanzlei Osborne Clarke am Standort Hamburg. Nachdem er zuvor für eine andere internationale Kanzlei tätig war, ist er seit 2014 Rechtsanwalt bei Osborne Clarke. Er berät ausschließlich zu Rechtsfragen rund um Daten. Vor seiner Tätigkeit als Rechtsanwalt war Dr. Schefzig als Unternehmensberater bei McKinsey & Company tätig. Er befasst sich deshalb insbesondere auch mit Fragen des Datenschutzmanagements. Dr. Schefzig hat zahlreiche Buch- und Zeitschriftenbeiträge zum Datenschutzrecht verfasst und ist regelmäßiger Referent auf Fachtagungen und -kongressen.

Laurenz Strassemeyer, Diplom-Jurist und Doktorand an der Universität Bonn. Er lässt sich zur datenschutzrechtlichen Regulierung von Künstlicher Intelligenz von Prof. Dr. Specht-Riemenschneider promovieren. Seit Januar 2021 ist er Visiting Student Researcher an der UC Berkeley School of Law am Berkeley Center for Law & Technology. Zuvor arbeitete Herr Strassemeyer zwei Jahre als wissenschaftlicher Mitarbeiter bei Osborne Clarke in der Praxisgruppe IT-Recht & Datenschutz in Hamburg. Nach Abschluss seines Studiums 2018 absolvierte er ein mehrmonatiges Client Secondment für eine Boutique-Kanzlei für Datenschutz und IT-Recht bei einem weltweit führenden Textildiscounter, den er bei der Umsetzung der DSGVO-Vorgaben unterstützte. Herr Strassemeyer ist seit August 2019 zudem Mitglied der Redaktion der Fachzeitschrift Datenschutz-Berater (DSB).

Dr. Anna Zeiter, LL.M. (Stanford), ist Associate General Counsel und Chief Privacy Officer von eBay Inc. Vor ihrer Tätigkeit bei eBay hat Anna Zeiter in Hamburg im Bereich Medienrecht promoviert und war anschließend als Rechtsanwältin bei zwei internationalen Großkanzleien im Bereich Datenschutz-, IT- und eCommerce-Recht tätig. Anschließend hat sie das LL.M.-Programm in Law, Science and Technology Recht an der der Stanford Law School absolviert. Neben ihrer beruflichen Tätigkeit ist Anna Zeiter regelmäßig Referentin bei internationalen Datenschutzkonferenzen und unterrichtet als Dozentin an verschiedenen Universitäten, u.a. in Bern, St. Gallen und Göttingen. Daneben veröffentlicht Frau Dr. Zeiter regelmäßig Beiträge zu datenschutzrechtlichen Themen, beispielsweise im Stanford Transatlantic Technology Law Forum sowie im European Data Protection Law Review. Darüber hinaus ist Anna Zeiter Board Member der International Association of Privacy Professionals (IAPP), Committee Member des Data Protection Officer Networks in Dublin sowie Mitglied des World Economic Forums (WEF).

Die DSGVO wurde häufig in einem Satz dadurch charakterisiert, dass sie keine Revolution, sondern eher eine Evolution des Datenschutzrechts mit sich gebracht habe. Das stimmt in vielen Bereichen, z.B. weil die der DSGVO zugrundeliegenden Datenschutzprinzipien1 bereits aus der DSRL bekannt waren und weil u.a. einige Zulässigkeitsvorschriften2 fast wortgleich aus der DSRL übernommen worden waren.

Es ist aber auch richtig, dass die DSGVO in mehreren Bereichen bedeutsame Änderungen bewirkt hat. Zwei prominente Beispiele hierfür sind die signifikant erhöhten Bußgelder3 und die starke Ausprägung der Verpflichtungen zur Implementierung eines Datenschutz-Managementsystems,4 das in dem von der DSGVO verlangten Reifegrad vorher nur in sehr wenigen Unternehmen konsequent umgesetzt war.

1. Stand der Umsetzung in den Unternehmen

Jedes Unternehmen, das in relevantem Umfang personenbezogene Daten verarbeitet, musste und muss sich deshalb intensiv mit den Regelungen befassen und in spezifischen DSGVO-Umsetzungsprojekten oder im Rahmen laufender Kontrollen die Relevanz für die eigene Datenverarbeitung ermitteln und notwendige Anpassungsmaßnahmen ableiten und ergreifen.5 Nach unseren Erfahrungen ist es zwar so, dass die allermeisten Unternehmen ihre DSGVO-Umsetzungsprojekte mittlerweile abgeschlossen haben. Es ist aber auch nicht zu verkennen, dass bei weitem nicht alle Unternehmen bereits eine 100 %ige DSGVO-Konformität erreicht haben. Nach einer Umfrage des Branchenverbandes Bitkom aus dem September 2019 hätten zwar 67 % der Unternehmen Maßnahmen zur Umsetzung der DSGVO ergriffen; es seien eineinhalb Jahre nach Inkrafttreten der neuen Regelungen aber nur 25 % der Unternehmen vollständig DSGVO-konform.6 Darüber hinaus muss aus einem statischen Datenschutz-Managementsystem, das im Rahmen eines DSGVO-Umsetzungsprojekts entsteht, ein dynamisches System werden, das sich laufend optimiert. Anderenfalls ist eine nachhaltige DSGVO-Compliance gerade nicht gewährleistet.7 Es ist daher wichtig, sich fortwährend zu vergegenwärtigen, dass der Übergang zur DSGVO auch einen systematischen Schwenk mit sich gebracht hat, der in zeitlicher und in inhaltlicher Hinsicht ebenfalls fortwährend bewältigt werden muss.

2. Zeitliche Geltung

In zeitlicher Hinsicht war der Übergang weniger problematisch, weil es eine klare Stichtagsregelung gibt: Bis zum 24.5.2018 war das alte Recht vollumfänglich anwendbar; erst seit dem 25.5.2018 gilt die DSGVO. Dort wo die DSGVO also Erleichterungen gegenüber der ehemaligen Rechtslage bewirkt hat, z.B. durch den Verzicht auf das ehemals in § 11 Abs. 2 S. 2 BDSG a.F. normierte Schriftformerfordernis, dürfen diese erst seit dem Stichtag in rechtssicherer Weise in Anspruch genommen werden.

Ungeachtet dessen bedeutet dies nicht, dass das alte Recht ab sofort keine Rolle mehr spielt. Gerade in derzeit noch laufenden Gerichtsverfahren müssen Sachverhalte häufig noch nach altem Recht – und ggf. parallel auch nach der DSGVO–beurteilt werden. Ein aktuelles Beispiel bildet das Gerichtsverfahren in Sachen Planet49: Der EuGH hat in seiner Entscheidung8 einleitend festgestellt, dass der Ausgangsrechtsstreit nach der Zurückverweisung an den vorlegenden BGH u.U. auf Grundlage der nach der letzten mündlichen Verhandlung zur Geltung gekommenen DSGVO entschieden werden müsse und die Vorlagefragen daher sowohl nach Maßgabe der DSRL als auch der DSGVO zu beantworten waren.

4. Zusammenspiel mit anderen Regelwerken

Die DSGVO verfolgt dabei aber keinen Vollharmonisierungsansatz in dem Sinne, dass es keinerlei Datenschutzvorschriften in anderen Regelwerken auf europäischer oder nationaler Ebene mehr geben kann und soll. Zwar wurde die DSRL gemäß Art. 94 Abs. 1 DSGVO zeitlich zum 25.5.2018 aufgehoben, damit sind aber keineswegs alle Parallelgesetze beseitigt. Im Gegenteil bettet sich die DSGVO in ein Regelungsgeflecht aus manchen neuen und manchen weitergeltenden Datenschutzregelungen ein. Hieraus entsteht eine nicht zu unterschätzende Komplexität.

a) Begleitgesetze auf Basis von Öffnungsklauseln

Zunächst enthält die DSGVO selbst eine Reihe sogenannter „Öffnungsklauseln“, in denen sie den Mitgliedstaaten gestattet, spezifizierende oder abweichende Regelungen zu treffen. Beispiele hierfür sind Art. 8 Abs. 1 UAbs. 2 DSGVO, wonach die Mitgliedstaaten eine Absenkung der Altersgrenze für Einwilligungen von Minderjährigen von 16 auf bis zu 13 Jahren vorsehen dürfen; und Art. 37 Abs. 4 S. 1, 2. HS DSGVO, der es den Mitgliedstaaten gestattet, von Art. 37 Abs. 1 DSGVO abweichende Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten vorzusehen.

In vielen Mitgliedstaaten sind entsprechende Gesetzgebungsverfahren bereits abgeschlossen, die der Inanspruchnahme dieser insgesamt ca. 80 Öffnungsklauseln dienen. Der deutsche Gesetzgeber war hierbei besonders schnell: Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU vom 30.6.2017) war bereits am 5.7.2017 im Bundesgesetzblatt verkündet worden.9

Das Artikelgesetz enthält unter anderem als Art. 1 das BDSG, welches die Begleitvorschriften zur DSGVO enthält, die auf deren Öffnungsklauseln gestützt sind.10 Gemäß Art. 8 Abs. 1 DSAnpUG-EU trat das BDSG parallel zur DSGVO am 25.5.2018 in Kraft.

Am 29.11.2019 ist in Deutschland das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) in Kraft getreten. Es handelt sich ebenfalls um ein Artikelgesetz, durch das – allerdings überwiegend nur terminologische – Änderungen an diversen Einzelgesetzen vorgenommen wurden, um so die Datenschutzregelungen in diesen Gesetzen mit den Begrifflichkeiten der DSGVO zu harmonisieren.

b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen

Explizit nicht durch die DSGVO abgelöst wurde die RL 2002/58/EG.11 In Art. 95 DSGVO wird folgerichtig das Verhältnis der Regelungswerke zueinander geregelt, und zwar in dem Sinne, dass die RL 2002/58/EG vorrangig vor der DSGVO gilt, soweit sie besondere Pflichten enthält, die dasselbe Ziel wie die DSGVO-Pflichten verfolgen. Die RL 2002/58/EG ist also in ihrem Anwendungsbereich lex specialis zur DSGVO.

Daraus folgt, dass auch die mitgliedstaatlichen Vorschriften zur Umsetzung der RL 2002/58/EG Vorrang haben vor der DSGVO; in Deutschland sind dies einige – aber nicht alle – Datenschutzregelungen im TKG, manche Datenschutzvorschriften im TMG und die Regelung in § 7 Abs. 2 und 3 UWG. Problematisch hierbei ist, dass die Datenschutzvorschriften in TKG und TMG keine 1:1-Umsetzungen der Richtlinienvorgaben sind. Sie enthalten vielmehr auch Regeln mit datenschutzrechtlicher Natur, die in der RL 2002/58/EG nicht vorgesehen sind- oder möglicherweise gerade keine Umsetzung der entsprechenden Vorschriften in der RL 2002/58/EG sind. Soweit dies der Fall ist, partizipieren solche überschießenden Regelungen nicht am Anwendungsvorrang und werden prinzipiell von der DSGVO verdrängt.

Praxishinweis

Aktuell ergibt sich hieraus eine besondere Problematik bei der Frage des rechtmäßigen Einsatzes von Cookies auf Unternehmens-Webseiten. Es bestehen unterschiedliche Ansichten darüber, ob die Regelungen im TMG eine ordnungsgemäße Umsetzung von Art. 5 Abs. 3 der RL 2002/58/EG darstellen. Die deutschen Datenschutzaufsichtsbehörden verneinen dies mit der Folge, dass sie insbesondere § 15 Abs. 3 TMG für unanwendbar halten und die Zulässigkeit am Maßstab der DSGVO messen.12

c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO

Der Vollständigkeit halber sei abschließend erwähnt, dass es auch datenschutzrechtliche Regelungsmaterien gibt, die weder in die Anwendungsbereiche der DSGVO noch der RL 2016/680/EU fallen, wie etwa im Bereich der Landesverteidigung. Für die Datenverarbeitung durch Unternehmen spielen diese Regelungen freilich allenfalls eine Nebenrolle.

d) Zwischenergebnis

Der vorstehende Überblick zeigt, dass es nunmehr ein schwieriger zu bewältigendes Regelungsgeflecht von DSGVO, Richtlinien und nationalen Begleit- und Umsetzungsgesetzen gibt. Gerade dort, wo nationale Datenschutzvorschriften nicht eindeutig und trennscharf einer Öffnungsklausel der DSGVO oder einer umzusetzenden Richtlinienvorgabe zugewiesen werden können, besteht eine unsichere Rechtslage.

a.A.	anderer Ansicht
ABl.	Amtsblatt
ABl. EG	Amtsblatt der Europäischen Gemeinschaft
ABl. EU	Amtsblatt der Europäischen Union
Abs.	Absatz
AES	Advanced Encryption Standard
AEUV	Vertrag über die Arbeitsweise der Europäischen Union (EU-Arbeitsweisevertrag)
AGB	Allgemeine Geschäftsbedingungen
AiB	Arbeitsrecht im Betrieb
AktG	Aktiengesetz
Alt.	Alternative
AMGuaÄndG	Gesetz zur Änderung arzneimittelrechtlicher und anderer Vorschriften
Anm.	Anmerkung
AO	Abgabenordnung
API	Advance Passenger Information
ArbG	Arbeitsgericht
ArbRB	Arbeitsrechtsberater (Zeitschrift)
Art.	Artikel
BaFin	Bundesanstalt für Finanzdienstleistungsaufsicht
BAG	Bundesarbeitsgericht
BAGE	Entscheidungen des Bundesarbeitsgerichts
BayDSG	Bayerisches Datenschutzgesetz
BayLDA	Bayerisches Landesamt für Datenschutzaufsicht
BB	Betriebs-Berater (Zeitschrift)
BCR	Binding Corporate Rules
BDIU	Bundesverband Deutscher Inkasso-Unternehmen
BDSG	Bundesdatenschutzgesetz
BeckOK	Beck’scher Onlinekommentar
BeckOK-DS	Wolff/Brink (Hrsg.), Beck’scher Online-Kommentar Datenschutzrecht, 35. Edition, 2021
BeckOK-OWiG	Graf (Hrsg.), Beck’scher Online-Kommentar OWiG, 29. Edition, 2021
BeckOK-StGB	von Heintschel-Heinegg (Hrsg.), Beck’scher Online-Kommentar StGB, 48. Edition, 2020
Begr.	Begründung
BetrVG	Betriebsverfassungsgesetz
BfDI	Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
BGB	Bürgerliches Gesetzbuch
BGBl.	Bundesgesetzblatt
BGH	Bundesgerichtshof
BITKOM	Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
BlnBDI	Berliner Beauftragte für Datenschutz und Informationsfreiheit
BNotO	Bundesnotarordnung
BORA	Berufsordnung der Rechtsanwälte
BOStB	Satzung über die Rechte und Pflichten bei der Ausübung der Berufe der Steuerberater und der Steuerbevollmächtigten (Berufsordnung)
BRAO	Bundesrechtsanwaltsordnung
BR-Drs.	Drucksache des Deutschen Bundesrates
BSG	Bundessozialgericht
BSI	Bundesamt für Sicherheit in der Informationstechnik
BT	Bundestag
BT-Drs.	Drucksache des Deutschen Bundestages
BVDW	Bundesverband Digitale Wirtschaft e.V.
BVerfG	Bundesverfassungsgericht
BVerfGE	Entscheidungen des Bundesverfassungsgerichts
CR	Computer und Recht (Zeitschrift)
Cri	Computer und Recht International (Zeitschrift)
CRM	Customer Relationship Management
DB	Der Betrieb (Zeitschrift)
d.h.	das heißt
Drs.	Drucksache
DSB	Datenschutzberater (Zeitschrift)
DSB	Datenschutzbeauftragter
DSRL	Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie)
DuD	Datenschutz und Datensicherheit (Zeitschrift)
DV	Datenverarbeitung
e.V.	Eingetragener Verein
EDV	Elektronische Datenverarbeitung
EG	Europäische Gemeinschaft
EMRK	Konvention zum Schutze der Menschenrechte und Grundfreiheiten (Europäische Menschenrechtskonvention)
ENISA	European Union Agency for Network and Information Security
ER	Europäischer Rat
EuGH	Europäischer Gerichtshof
EU-Komm	Europäische Kommission
EWR	Europäischer Wirtschaftsraum
FAQ	Frequently Asked Questions
f.	folgende
ff.	fortfolgende
Fn.	Fußnote
FS	Festschrift
GDD	Gesellschaft für Datenschutz und Datensicherheit
GenDG	Gendiagnostikgesetz
GewO	Gewerbeordnung
GG	Grundgesetz
GmbH	Gesellschaft mit beschränkter Haftung
GmbHG	Gesetz betreffend die Gesellschaften mit beschränkter Haftung
GrCh	Europäische Grundrechtecharta
GVG	Gerichtsverfassungsgesetz
h.M.	herrschende Meinung
Hs.	Halbsatz
HBÜ	Haager Übereinkommen vom 18.3.1970 über die Beweisaufnahme im Ausland in Zivil- und Handelssachen
HGB	Handelsgesetzbuch
HR	Human Resources
ico	Information Commissioner,s Office
i.d.R.	in der Regel
i.S.d.	im Sinne des/der
i.S.v.	im Sinne von
ID	Identity
IHK	Industrie- und Handelskammer
IKS	Internes Kontrollsystem
IP	Intellectual Property
ISMS	IT-Sicherheitsmanagement-System
ISO	Internationale Organisation für Normung
IoT	Internet of things
i.S.d.	im Sinne des/der
i.S.v.	im Sinne von
IT	Informationstechnologie
ITRB	Der IT-Rechts-Berater (Zeitschrift)
i.V.m.	in Verbindung mit
Kap.	Kapitel
K&R	Kommunikation und Recht (Zeitschrift)
KWG	Gesetz über das Kreditwesen (Kreditwesengesetz)
LAG	Landesarbeitsgericht
LDI NRW	Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
LfD	Landesbeauftragte/Landesbeauftragter für den Datenschutz
LfDI M-V	Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
LG	Landgericht
lit.	littera (= Buchstabe)
LT-Drs.	Landtags-Drucksache
MaRisk	Mindestanforderungen an das Risikomanagement
MDR	Monatsschrift für Deutsches Recht (Zeitschrift)
MedR	Medizinrecht (Zeitschrift)
Mio.	Millionen
MMR	Multimedia und Recht (Zeitschrift)
Mrd.	Milliarden
MüKo-BGB	Münchener Kommentar zum Bürgerlichen Gesetzbuch (BGB), Band 2, Schuldrecht – Allgemeiner Teil I, 8. Aufl. 2019
MüKo-GmbHG	Münchener Kommentar zum Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG), Band 2, §§ 35–52, 3. Aufl. 2019
MüKo-StGB	Münchener Kommentar zum Strafgesetzbuch (StGB), Band 4, §§ 185–262, 3. Aufl. 2017
m.w.N.	mit weiteren Nachweisen
NJW	Neue Juristische Wochenschrift (Zeitschrift)
NJW-RR	NJW-Rechtsprechungsreport (Zeitschrift)
Nr.	Nummer
Nrn.	Nummern
NRW	Nordrhein-Westfalen
NVwZ	Neue Zeitschrift für Verwaltungsrecht
NZA	Neue Zeitschrift für Arbeitsrecht
OECD	Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (Organisation for Economic Co-operation and Development)
OLG	Oberlandesgericht
OVG	Oberverwaltungsgericht
OWiG	Gesetz über Ordnungswidrigkeiten
PIN	Persönliche Identifikationsnummer
PostG	Postgesetz
RDV	Recht der Datenverarbeitung (Zeitschrift)
RegE	Regierungsentwurf
Rn.	Randnummer
Rs.	Rechtssache (EuGH)
RSA	Asymmetrisches Verschlüsselungssystem nach Rivest, Shamir und Adleman
S.	Seite, Satz (bei Rechtsnormen)
SaaS	Software as a Service
Schufa	Schutzgemeinschaft für allgemeine Kreditsicherung
SGB I	Sozialgesetzbuch Erstes Buch
SGB V	Sozialgesetzbuch Fünftes Buch
SGB X	Sozialgesetzbuch Zehntes Buch
SIM	Subscriber Identity Module
SMS	Short Message Service
StBerG	Steuerberatungsgesetz
StGB	Strafgesetzbuch
st. Rspr.	ständige Rechtsprechung
StPO	Strafprozessordnung
TB	Tätigkeitsbericht
TKG	Telekommunikationsgesetz
TMG	Telemediengesetz
TTDSG	Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien
u.a.	unter anderem
UKlaG	Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz)
ULD SH	Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
UrhG	Gesetz über Urheberrecht und verwandte Schutzrechte (Urheberrechtsgesetz)
USA	United States of America
USB	Universal Serial Bus
usw.	und so weiter
UWG	Gesetz gegen den unlauteren Wettbewerb
Var.	Variante
VG	Verwaltungsgericht
vgl.	vergleiche
VoIP	Voice over IP
Vol.	Volume
VPN	Virtual private Network
VuR	Verbraucher und Recht (Zeitschrift)
VVG	Gesetz über den Versicherungsvertrag (Versicherungsvertragsgesetz)
VwGO	Verwaltungsgerichtsordnung
VwVfG	Verwaltungsverfahrensgesetz
WLAN	Wireless Local Area Network
WP	Working Paper
WRP	Wettbewerb in Recht und Praxis (Zeitschrift)
ZAfTDa	Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz
z.B.	zum Beispiel
Ziff.	Ziffer
ZPO	Zivilprozessordnung
ZUM	Zeitschrift für Urheber- und Medienrecht

Adam, Azad	Implementing electronic document and record management systems, Boca Raton 2007 (zit.: Adam)
Albrecht, Jan Philipp/Jotzo, Florian	Das neue Datenschutzrecht der EU, Baden-Baden 2017 (zit.: Albrecht/Jotzo)
Auer-Reinsdorff, Astrid/Conrad, Isabell	Handbuch IT- und Datenschutzrecht, 3. Aufl., München 2019 (zit.: Auer-Reinsdorff/Conrad/Bearbeiter)
Auernhammer, Herbert	(herausgegeben von Eßer, Martin/Kramer, Philipp/v. Lewinski, Kai) DSGVO BDSG, 7. Aufl., Köln 2020 (zit. Auernhammer/Bearbeiter)
Bader, Johann/Ronellenfitsch, Michael	Beck’scher Online-Kommentar VwVfG, 51. Edition, München 2020 (zit.: BeckOK-VwVfG/Bearbeiter)
Behling, Thorsten B./Abel, Ralf B.	Praxishandbuch Datenschutz im Unternehmen, Berlin 2014 (zit.: Behling/Abel/Bearbeiter)
Bergmann, Jan	Handlexikon der Europäischen Union, 5. Aufl., Baden-Baden 2015 (zit.: Bergmann/Bearbeiter)
Beyvers, Eva	Privatheit in der Waagschale, Berlin 2018
Bresich, Ronald/Dopplinger, Lorenz/Dörnhöfer, Stefanie/Kunnert, Gerhard/Riedl, Eckhard	DSG: Datenschutzgesetz Kommentar, Wien 2018 (zit.: Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl)
Bretz, Jörg/Hinssen, Johannes/Kolb, Andreas/Martin, Gerd/Peltier, Georges/Rosenberger, Peter	IT-Sicherheitsmanagement in Banken und Sparkassen, Heidelberg 2007 (zit.: Bretz et al./Bearbeiter)
von dem Bussche, Axel/Voigt, Paul	Konzerndatenschutz, 2. Aufl., München 2019 (zit.: von dem Bussche/Voigt/Bearbeiter)
Calliess, Christian/Ruffert, Matthias	EUV/AEUV, 5. Aufl., München 2016 (zit.: Calliess/Ruffert/Bearbeiter)
Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo	Bundesdatenschutzgesetz, 5. Aufl., Frankfurt/Main 2016 (zit.: Däubler/Klebe/Wedde/Weichert/Bearbeiter)
Däubler, Wolfgang/Wedde, Peter/Weichert, Thilo/Sommer, Imke	EU-DSGVO und BDSG, 2. Aufl., Frankfurt/Main 2020 (zit.: Däubler/Wedde/Weichert/Sommer/Bearbeiter)
Dauses, Manfred A./Ludwigs, Markus	Handbuch des EU-Wirtschaftsrechts, 52. Aufl., München 2021 (zit.: Dauses/Ludwigs/Bearbeiter)
Dochow, Carsten/Dörfer, Bert-Sebastian/Halbe, Bernd/Hübner, Marlis/Ippach, Jan/Schröder, Jürgen/Schütz, Joachim/Strüve, Jakob	Datenschutz in der ärztlichen Praxis, Köln 2019 (zit.: Dochow/Dörfer/Halbe/Hübner/Ippach/Schröder/Schütz/Strüve/Bearbeiter)
Dreier, Thomas/Schulze, Gernot	Urheberrechtsgesetz, 6. Aufl., München 2018 (zit.: Dreier/Schulze/Bearbeiter)
Ehmann, Eugen/Schonschek, Oliver	Prozessorientierte Datenschutzpraxis, 2. Aufl., Kissing 2011 (zit.: Ehmann/Schonschek)
Ehmann, Eugen/Selmayr, Martin	Datenschutz-Grundverordnung, 2. Aufl., München 2018 (zit.: Ehmann/Selmayr/Bearbeiter)
Falta, Roman P./Dueblin, Christian	Praxishandbuch Legal Operations Management, Berlin/Heidelberg 2017 (zit.: Falta/Dueblin/Bearbeiter)
Forgó, Nikolaus/Helfrich, Marcus/Schneider, Jochen	Betrieblicher Datenschutz, 3. Aufl., München 2019 (zit.: Forgó/Helfrich/Schneider/Bearbeiter)
Forgó, Nikolaus/Kollek, Regine/Arning, Marian/Krügel, Tina/Petersen, Imme	Ethical and Legal Requirements of Transnational Genetic Research, München/Oxford/Baden-Baden 2010 (zit.: Forgó/Kollek/Arning/Krügel/Petersen)
Friedewald, Michael/Obersteller, Hannah/Nebel, Maxi/Bieker, Felix/Rost, Martin	White Paper Datenschutz-Folgenabschätzung (zit.: Friedewald/Obersteller/Nebel/Bieker/Rost)
Gierschmann, Sibylle/Schlender, Katharina/Stentzel, Rainer/Veil, Winfried	Kommentar Datenschutz-Grundverordnung, Köln 2018 (zit. Gierschmann/Schlender/Stentzel/Veil/Bearbeiter)
Gola, Peter	Datenschutz-Grundverordnung, 2. Aufl., München 2018 (zit.: Gola/Bearbeiter)
Gola, Peter/Heckmann, Dirk	Bundesdatenschutzgesetz, 13. Aufl., München 2019 (zit.: Gola/Heckmann/Bearbeiter)
Gola, Peter/Jaspers, Andreas/Müthlein, Thomas/Schwartmann, Rolf	DS-GVO/BDSG im Überblick, 3. Aufl., Frechen 2018 (zit. Gola/Jaspers/Müthlein/Schwartmann)
Gola, Peter/Schomerus, Rudolf	Bundesdatenschutzgesetz, 12. Aufl., München 2015 (zit.: Gola/Schomerus/Bearbeiter)
Golland, Alexander	Datenverarbeitung in sozialen Netzwerken, Frankfurt/Main 2019 (zit.: Golland)
Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin	Das Recht der Europäischen Union, Band 1, 71. Aufl., München 2020 (zit.: Grabitz/Hilf/Nettesheim/Bearbeiter)
Graf, Peter	Beck’scher Online-Kommentar OWiG, 29. Edition, München 2021 (zit.: BeckOK-OWiG/Bearbeiter)
Griller, Stefan/Rill, Heinz Peter	Rechtstheorie: Rechtsbegriff – Dynamik – Auslegung, Wien 2011 (zit.: Griller/Rill/Bearbeiter)
Hänlein, Andreas/Schuler, Rolf	Sozialgesetzbuch V: Gesetzliche Krankenversicherung, 5. Aufl., Baden-Baden 2016 (zit.: Hänlein/Schuler/Bearbeiter)
Härting, Niko	Datenschutz-Grundverordnung, Köln 2016 (zit.: Härting)
Hansen-Oest, Stephan	Datenschutzbeauftragte, Frankfurt a.M. 2020
Hartmann, Matthias H.	Internationale E-Discovery und Information Governance, Berlin 2011 (zit.: Hartmann/Bearbeiter)
Hauschka, Christoph E./Moosmayer, Klaus/Lösler, Thomas	Corporate Compliance, 3. Aufl., München 2016 (zit.: Hauschka/Moosmayer/Lösler/Bearbeiter)
Heidrich, Jörg/Forgó, Nikolaus/Feldmann, Thorsten	Heise Online-Recht, 3. EL, Hannover 2011 (zit.: Heidrich/Forgó/Feldmann/Bearbeiter)
von Heintschel-Heinegg, Bernd	Beck’scher Online-Kommentar StGB, 48. Edition, München 2020 (zit.: BeckOK-StGB/Bearbeiter)
Hoffmann-Becking, Michael	Münchener Handbuch des Gesellschaftsrechts Band 4, Aktiengesellschaft, 5. Aufl., München 2020 (zit.: Münchener Handbuch des Gesellschaftsrechts/Bearbeiter)
Hunzinger, Sven	Das Löschen im Datenschutzrecht, Baden-Baden 2018
Jahnel, Dietmar	Datenschutzrecht – Jahrbuch 2018, Wien 2018 (zit.: Jahnel/Bearbeiter, Datenschutzrecht – Jahrbuch 2018)
Jarass, Hans D.	Charta der Grundrechte der Europäischen Union, 3. Aufl., München 2016 (zit.: Jarass/Bearbeiter)
Johlen, Heribert	Münchener Prozessformularbuch, Band 7 Verwaltungsrecht, 5. Aufl., München 2018 (zit.: Johlen/Bearbeiter)
Junker, Abbo	Electronic Discovery gegen deutsche Unternehmen, Frankfurt/Main 2008 (zit.: Junker)
Katzenmeier, Christian/Ratzel, Rudolf	Festschrift für Franz-Josef Dahm, Berlin 2017 (zit.: Katzenmeier/Ratzel/Bearbeiter)
Kersten, Heinrich/Klett, Gerhard/Reuter, Jürgen/Schröder, Klaus-Werner	IT-Sicherheitsmanagement nach der neuen ISO 27001, 2. Aufl., Wiesbaden 2020 (zit.: Kersten/Klett/Reuter/Schröder)
Kilian, Wolfgang/Heussen, Benno	(herausgegeben von Taeger, Jürgen/Pohle, Jan) Computerrechts-Handbuch, 35. Aufl., München 2020 (zit.: Kilian/Heussen/Bearbeiter)
Knoll, Matthias	IT-Prüfung und IT-Revision, Heidelberg 2013 (zit.: Knoll/Bearbeiter)
Knyrim, Rainer	Datenschutz-Grundverordnung, Wien 2016 (zit.: Knyrim/Bearbeiter)
Knyrim, Rainer	Der DatKomm Praxiskommentar zum Datenschutzrecht – DSGVO und DSG, Stand: 7.5.2020, Wien 2020 (zit.: Knyrim/Bearbeiter, Der DatKomm Praxiskommentar zum Datenschutzrecht – DSGVO und DSG)
Köhler, Helmut/Bornkamm, Joachim/Feddersen, Jörn	Gesetz gegen den unlauteren Wettbewerb UWG, 39. Aufl., München 2021 (zit.: Köhler/Bornkamm/Feddersen/Bearbeiter)
Körber-Risak, Katharina/Brodil, Wolfgang	Datenschutz und Arbeitsrecht, Wien 2018 (zit.: Körber-Risak/Brodil/Bearbeiter, Datenschutz und Arbeitsrecht)
Koreng, Ansgar/Lachenmann, Matthias	Formularhandbuch Datenschutzrecht, 2. Aufl., München 2018 (zit.: Koreng/Lachenmann/Bearbeiter)
Kotschy, Waltraud	RdW Spezial: DSGVO, Wien 2019 (zit.: Kotschy/Bearbeiter, RdW Spezial: DSGVO)
Kühling, Jürgen/Buchner, Benedikt	Datenschutz-Grundverordnung BDSG, 3. Aufl., München 2020 (zit.: Kühling/Buchner/Bearbeiter)
Kühling, Jürgen/Martini, Mario/Heberlein, Johanna/Kühl, Benjamin/Nink, David/Weinzierl, Quirin/Wenzel, Michael	Die Datenschutz-Grundverordnung und das nationale Recht, Münster 2016 (zit.: Kühling/Martini et al.)
Laue, Philip/Kremer, Sascha	Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., Baden-Baden 2019 (zit.: Laue/Kremer/Bearbeiter)
Laue, Philip/Nink, Judith/Kremer, Sascha	Das neue Datenschutzrecht in der betrieblichen Praxis, Baden-Baden 2016 (zit.: Laue/Nink/Kremer)
Laufs, Adolf/Kern, Bernd-Rüdiger/Rehborn, Martin	Handbuch des Arztrechts, 5. Aufl., München 2019 (zit.: Laufs/Kern/Rehborn/Bearbeiter)
Loomans, Dirk/Matz, Manuela/Wiedemann, Michael	Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems, Wiesbaden 2014 (zit.: Loomans/Matz/Wiedemann)
von Mangoldt, Hermann/Klein, Friedrich/Starck, Christian	Kommentar zum Grundgesetz, Band 2, 7. Aufl., München 2018 (zit.: v. Mangold/Klein/Starck/Bearbeiter)
Mazal, Wolfgang/Risak, Martin E.	Das Arbeitsrecht – System und Praxiskommentar, 33. Lieferung, Wien 2019 (zit.: Mazal/Risak/Bearbeiter, Arbeitsrecht – System und Praxiskommentar)
Meyer-Ladewig, Jens/Nettesheim, Martin/von Raumer, Stefan	EMRK, 4. Aufl., Baden-Baden 2017 (zit.: Meyer-Ladewig/Nettesheim/von Raumer/Bearbeiter)
Moos, Flemming	Datenschutz und Datennutzung, 3. Aufl., Köln 2021 (zit.: Moos/Bearbeiter)
Münchener Kommentar zum Aktiengesetz (AktG)	Band 2, §§ 76–117, MitbestG, DrittelbG, 5. Aufl., München 2019 (MüKo-AktG/Bearbeiter)
Münchener Kommentar zum Bürgerlichen Gesetzbuch (BGB)	Band 2, Schuldrecht – Allgemeiner Teil I, 8. Aufl., München 2019 (zit.: MüKo-BGB/Bearbeiter)
Münchener Kommentar zum Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG)	Band 2, §§ 35–52, 3. Aufl., München 2019 (zit.: MüKo-GmbHG/Bearbeiter)
Münchener Kommentar zum Strafgesetzbuch (StGB)	Band 4, §§ 185–262, 3. Aufl., München 2017 (zit.: MüKo-StGB/Bearbeiter)
Paal, Boris P./Pauly, Daniel A.	Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 2. Aufl., München 2018 (zit.: Paal/Pauly/Bearbeiter)
Piltz, Carlo	BDSG, Frankfurt a.M. 2018 (zit.: Piltz)
Plath, Kai-Uwe	DSGVO/BDSG, 3. Aufl., Köln 2018 (zit.: Plath/Bearbeiter)
Pollirer, Hans J./Weiss, Ernst M./Knyrim, Rainer/Haidinger, Viktoria	DSG, 4. Aufl., Wien 2019 (zit.: Pollirer/Weiss/Knyrim/Haidinger, DSG)
Riesenhuber, Karl	Europäische Methodenlehre, 3. Aufl., Berlin 2015 (zit.: Riesenhuber/Bearbeiter)
Riesz, Thomas/Schilchegger, Michael	TKG: Telekommunikationsgesetz, Wien 2016 (zit.: Riesz/Schilchegger/Bearbeiter, Telekommunikationsgesetz)
Rolfs, Christian/Giesen, Richard/Kreikebohm, Ralf/Meßling, Miriam/Udsching, Peter	Beck’scher Online-Kommentar Sozialrecht, 59. Edition, München 2020 (zit.: BeckOK-Sozialrecht/Bearbeiter)
Roßnagel, Alexander	Europäische Datenschutz-Grundverordnung, Baden-Baden 2017 (zit.: Roßnagel/Bearbeiter)
Roßnagel, Alexander/Hornung, Gerrit/Jandt, Silke	Teil-Rechtsgutachten zu den datenschutzrechtlichen Fragen der medizinischen Forschung, Stand 12/2009 (zit.: Roßnagel/Hornung/Jandt, Teil-Rechtsgutachten zu den datenschutzrechtlichen Fragen der medizinischen Forschung)
Rücker, Daniel/Kugler, Tobias	New European General Data Protection Regulation, München, Oxford, Baden-Baden 2018 (zit.: Rücker/Kugler/Bearbeiter)
Schaffland, Hans-Jürgen/Wiltfang, Noeme	Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Stand 2021, Berlin (zit.: Schaffland/Wiltfang/Bearbeiter)
Schantz, Peter/Wolff, Heinrich Amadeus	Das neue Datenschutzrecht, München 2017 (zit.: Schantz/Wolff/Bearbeiter)
Schmeh, Klaus	Kryptografie, 6. Aufl., Heidelberg 2016 (zit.: Schmeh)
Schönke, Adolf/Schröder, Horst	Strafgesetzbuch (StGB), 30. Aufl., München 2019 (zit.: Schönke/Schröder/Bearbeiter)
Schrems, Max	Kämpf um deine Daten, Wien 2014 (zit.: Schrems)
Schwartmann, Rolf/Jaspers, Andreas/Thüsing, Gregor/Kugelmann, Dieter	DS-GVO/BDSG, 2. Aufl, Heidelberg 2020 (zit.: Schwartmann/Jaspers/Thüsing/Kugelmann/Bearbeiter)
Schwarze, Jürgen/Becker, Ulrich/Hatje, Armin/Schoo, Johann	EU-Kommentar, 4. Aufl., Baden-Baden 2019 (zit.: Schwarze/Becker/Hatje/Schoo/Bearbeiter)
Simitis, Spiros	Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014 (zit.: Simitis/Bearbeiter)
Simitis, Spiros/Hornung, Gerrit/Spiecker gen. Döhmann, Indra	Datenschutzrecht: DSGVO mit BDSG, Baden-Baden 2019 (zit. Simitis/Hornung/Spiecker gen. Döhmann/Bearbeiter)
Specht, Louisa	Diktat der Technik, Baden-Baden 2019
Specht, Louisa/Mantz, Reto	Handbuch Europäisches und deutsches Datenschutzrecht, München 2019 (zit.: Specht/Mantz/Bearbeiter)
Specht-Riemenschneider, Louisa/Buchner, Benedikt/Heinze, Christian/Thomsen, Oliver	Festschrift für Jürgen Taeger: IT-Recht in Wissenschaft und Praxis, Frankfurt a.M. 2020 (zit.: FS Taeger/Bearbeiter)
Specht-Riemenschneider, Louisa/Werry, Nikola/Werry, Susanne	Datenrecht in der Digitalisierung, Berlin 2020 (zit.: Specht-Riemenschneider/Werry/Werry/Bearbeiter)
Spickhoff, Andreas	Medizinrecht, 3. Aufl., München 2018 (zit.: Spickhoff/Bearbeiter)
Spindler, Gerald/Schuster, Fabian	Recht der elektronischen Medien, 4. Aufl., München 2019 (zit.: Spindler/Schuster/Bearbeiter)
Sydow, Gernot	Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit.: Sydow/Bearbeiter)
Sydow, Gernot	Bundesdatenschutzgesetz, Baden-Baden 2020 (zit.: Sydow/Bearbeiter)
Taeger, Jürgen	Smart World – Smart Law?, Tagungsband DSRI-Herbstakademie, Edewecht 2016 (zit.: Taeger/Bearbeiter, DSRITB 2016)
Taeger, Jürgen	Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, Tagungsband DSRI-Herbstakademie, Edewecht 2017 (zit.: Taeger/Bearbeiter, DSRITB 2017)
Taeger, Jürgen	Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht, Tagungsband DSRI-Herbstakademie, Edewecht 2018 (zit.: Taeger/Bearbeiter, Rechtsfragen digitaler Transformationen)
Taeger, Jürgen	Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, Tagungsband DSRI-Herbstakademie, Edewecht 2019 (zit.: Taeger/Bearbeiter, DSRITB 2019)
Taeger, Jürgen	Den Wandel begleiten – IT-rechtliche Herausforderungen der Digitalisierung, Tagungsband DSRI-Herbstakademie, Edewecht 2020 (zit.: Taeger/Bearbeiter, DSRITB 2020)
Taeger, Jürgen/Gabel, Detlev	DSGVO BDSG, 3. Aufl., Frankfurt/Main 2019 (zit.: Taeger/Gabel/Bearbeiter)
Thome, Günter/Sollbach, Wolfgang	Grundlagen und Modelle des Information Lifecycle Management, Heidelberg 2007 (zit.: Thome/Sollbach)
Thüsing, Gregor	Beschäftigtendatenschutz und Compliance, 3. Aufl., München 2021 (zit.: Thüsing)
Vedder, Christoph/Heintschel von Heinegg, Wolff	Europäisches Unionsrecht, 2. Aufl., München 2018 (zit.: Vedder/Heintschel/v. Heinegg/Bearbeiter)
Weber, Wolfgang/Kabst, Rüdiger/Baum, Matthias	Einführung in die Betriebswirtschaftslehre, 10. Aufl., Wiesbaden 2017 (zit.: Weber/Kabst/Baum)
Wenhold, Céline	Nutzerprofilbildung durch Webtracking, Baden-Baden 2018
Weth, Stephan/Herberger, Maximilian/Wächter, Michael/Sorge, Christoph	Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl., München 2019 (zit.: Weth/Herberger/Wächter/Sorge/Bearbeiter)
Wiedemann, Gerhard	Handbuch des Kartellrechts, 4. Aufl., München 2020 (zit.: Wiedemann/Bearbeiter)
Wolff, Heinrich Amadeus/Brink, Stefan	Beck’scher Online-Kommentar Datenschutzrecht, 35. Edition, München 2021 (zit.: BeckOK-DS/Bearbeiter)
Wybitul, Tim	EU-Datenschutz-Grundverordnung im Unternehmen, Frankfurt/Main 2016 (zit.: Wybitul/Bearbeiter)
Zippelius, Reinhold	Juristische Methodenlehre, 12. Aufl., München 2021 (zit.: Zippelius)

Vorwort

Autorenverzeichnis

Abkürzungsverzeichnis

Literaturverzeichnis

Kapitel 1 Grundlagen des Umgangs mit der DSGVO

I. Die Anwendung der DSGVO und der nationalen Begleitgesetze