DSGVO - BDSG - TTDSG

Tekst

Książka w języku niemieckim

Z serii: Kommunikation & Recht

Recenzje

Przeczytaj fragment

Oznacz jako przeczytane

Jak czytać książkę po zakupie

Smartfon,
tablet Komputer,
laptop E-czytnik

Pobierz:
FB2
EPUB
iOS.EPUB
7 więcej

Rozmiar: 4740 str. 6 ilustracji
Kategoria: adwokatura Edytuj

Czcionka:Mniejsze АаWiększe Aa

c) Einreichung einer Beschwerde durch Betroffenen (Art. 4 Nr. 22 lit. c)

477

Ferner kann auch die Einreichung einer Beschwerde (über die jeweilige grenzüberschreitende Datenverarbeitung) bei einer Aufsichtsbehörde diese als „Betroffene“ qualifizieren. Unter einer Beschwerde dürfte eine solche nach Art. 57 Abs. 1 lit. f DSGVO zu verstehen sein, wonach nicht nur betroffene Personen, sondern auch Organisationen i.S.v. Art. 80 DSGVO als Beschwerdeführer in Frage kommen.844

478

Demzufolge ist es nicht ausreichend, dass eine von der Datenverarbeitung betroffene Person in den sachlichen und örtlichen Zuständigkeitsbereich einer Aufsichtsbehörde fällt.845 Vielmehr bedarf es der formalen Voraussetzung der Einreichung einer Beschwerde.846 Dieses Ergebnis wird insoweit durch die Wertung von Art. 4 Nr. 22 lit. b DSGVO untermauert, indem gerade eine erhebliche Auswirkung auf die Betroffenen vorausgesetzt wird.847 Irrelevant sollte dabei die Begründetheit der Beschwerde sein.848 Insofern kristallisiert sich oftmals erst nach Abschluss eines langwierigen, aufsichtsbehördlichen Verfahrens (und einer sich unter Umständen anschließenden gerichtlichen Klärung) heraus, ob ein Datenschutzverstoß vorliegt und die Beschwerde somit begründet war. Um angemessen an diesem Verfahren beteiligt zu werden, muss sich die Betroffenheit der jeweiligen Aufsichtsbehörde demnach bereits vor Abschluss des eigentlichen Verfahrens ergeben.849

479

Die Reichweite des Beschwerderechts betroffener Personen richtet sich nach Art. 77 DSGVO, wonach sich betroffene Personen grundsätzlich an jede Aufsichtsbehörde innerhalb der EU wenden können und gerade nicht auf die für sie national zuständige Aufsichtsbehörde beschränkt sind.850 Hieraus folgt, dass sich die Betroffenheit einer Aufsichtsbehörde nach Art. 4 Nr. 22 lit. c DSGVO theoretisch auch dann ergeben kann, wenn der jeweilige Verantwortliche bzw. Auftragsverarbeiter über keine Niederlassung in dem Mitgliedstaat verfügt (vgl. lit. a) oder in dem Mitgliedstaat keine Personen von der grenzüberschreitenden Datenverarbeitung betroffen, geschweige denn erheblich belastet sind (vgl. lit. b).851 In der Praxis werden sich betroffene Personen jedoch regelmäßig an ihre jeweilige nationale Aufsichtsbehörde wenden.

XXIV. Grenzüberschreitende Verarbeitung (Nr. 23)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

480

Die Definition der grenzüberschreitenden Verarbeitung ist zentral für die Anwendung des sog. One-Stop-Shop-Verfahrens und die damit einhergehende Bestimmung der federführenden Aufsichtsbehörde sowie die weitere Zusammenarbeit der Aufsichtsbehörden nach den Art. 60ff. DSGVO. Der Begriff weist somit Zusammenhänge mit den Definitionen der Hauptniederlassung gemäß Art. 4 Nr. 16 DSGVO sowie der betroffenen Aufsichtsbehörde gemäß Art. 4 Nr. 22 DSGVO auf.

2. Merkmale einer grenzüberschreitenden Verarbeitung

481

Eine grenzüberschreitende Verarbeitung kann in zwei Konstellationen vorliegen. Art. 4 Nr. 23 DSGVO weist dabei eine deutliche Parallele zu Art. 3 DSGVO auf, der den räumlichen Anwendungsbereich der DSGVO absteckt. Insofern sehen Art. 3 und Art. 4 Nr. 23 DSGVO gleichermaßen sowohl das Niederlassungsprinzip (vgl. Art. 3 Abs. 1 und Art. 4 Nr. 23 lit. a DSGVO) als auch das Marktortprinzip (vgl. Art. 3 Abs. 2 und Art. 4 Nr. 23 lit. b DSGVO) zur Bestimmung ihres Anwendungsbereichs vor. Um Wertungswidersprüche zu vermeiden, sollten daher im Rahmen beider Normen die gleichen Maßstäbe angesetzt werden.

a) Niederlassungsprinzip (Art. 4 Nr. 23 lit. a)

482

Nach Art. 4 Nr. 23 lit. a DSGVO muss der Verantwortliche oder der Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen sein. Zudem muss die jeweils in Frage stehende Datenverarbeitung „im Rahmen der Tätigkeiten“ dieser in mehreren Mitgliedstaaten belegenen Niederlassungen erfolgen.

483

Wie im Rahmen von Art. 3 Abs. 1 DSGVO wird dabei ein sehr weites Verständnis anzulegen sein. Insofern wird es einerseits genügen, dass eine Niederlassung den mit der in Frage stehenden Datenverarbeitung verfolgten Geschäftszweck einer anderen Niederlassung fördert, ohne die Verarbeitung dabei selber (mit-)auszuführen.852 Darüber hinaus ist es nicht erforderlich, dass die Niederlassungen die Daten der gleichen betroffenen Personen verarbeiten. Andererseits genügt es bereits, wenn die Niederlassungen dieselben Datenkategorien zum gleichen Zweck und nach einem ähnlichen Verfahren verarbeiten,853 etwa wenn mehrere Niederlassungen ein Datenverarbeitungsverfahren auf Anweisung einer Hauptniederlassung durchführen. Art. 4 Nr. 23 lit. a DSGVO setzt dabei keine Übermittlung von personenbezogenen Daten zwischen den Niederlassungen voraus.854

484

Demgegenüber liegt keine grenzüberschreitende Verarbeitung i.S.v. Art. 4 Nr. 23 lit. a DSGVO bei der Datenweitergabe zwischen zwei Verantwortlichen oder einem Verantwortlichen und einem Auftragsverarbeiter vor, es sei denn, dass jedenfalls einer der beteiligten Akteure über mehrere Niederlassungen in verschiedenen Mitgliedstaaten verfügt, im Rahmen deren Tätigkeit diese Verarbeitung erfolgt oder sich ein grenzüberschreitender Bezug aus Art. 4 Nr. 23 lit. b DSGVO ergibt.855

485

Im Falle von gemeinsam Verantwortlichen (Art. 26 DSGVO) dürfte bereits dann eine grenzüberschreitende Verarbeitung vorliegen, auch wenn die beteiligten Niederlassungen zu verschiedenen Verantwortlichen gehören.856

b) Marktortprinzip (Art. 4 Nr. 23 lit. b)

486

Alternativ kann nach Art. 4 Nr. 23 lit. b DSGVO auch eine einzelne Niederlassung in einem Mitgliedstaat eine grenzüberschreitende Verarbeitung begründen. Für den Fall, dass die Verarbeitung personenbezogener Daten in nur einem Mitgliedstaat erfolgt, muss die Verarbeitung aber zusätzlich erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben oder haben können. Diesbezüglich kann auf die obigen Ausführungen zu Art. 4 Nr. 22 lit. b DSGVO verwiesen werden.857

487

Eine durch einen außerhalb der EU ansässigen Verantwortlichen oder Auftragsverarbeiter durchgeführte Datenverarbeitung fällt – auch wenn sie erhebliche Auswirkungen auf Betroffene innerhalb der EU hat – nur dann in den Anwendungsbereich von Art. 4 Nr. 23 DSGVO, sofern die jeweilige datenverarbeitende Stelle im Drittland zumindest über eine Niederlassung innerhalb der EU verfügt, im Rahmen deren Tätigkeit die jeweilige Verarbeitung erfolgt.858

XXV. Maßgeblicher und begründeter Einspruch (Nr. 24)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

488

Die Definition des maßgeblichen und begründeten Einspruchs ist im Rahmen der Zusammenarbeit zwischen den Aufsichtsbehörden sowie des Streitbeilegungsverfahrens (vgl. Art. 60 Abs. 4 und 6, Art. 65 Abs. 1 lit. a DSGVO) von Relevanz. Sie beschreibt die formalen Voraussetzungen, unter denen sich eine betroffene Aufsichtsbehörde gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde zur Wehr setzen kann.

489

Ein maßgeblicher und begründeter Einspruch kann daher ausschließlich von einer betroffenen Aufsichtsbehörde i.S.v. Art. 4 Nr. 22 DSGVO erhoben werden und kann sich lediglich gegen Beschlussentwürfe einer federführenden Aufsichtsbehörde richten.

490

Die federführende Aufsichtsbehörde kann sich dem maßgeblichen und begründeten Einspruch anschließen. Tut sie dies nicht oder ist sie der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, leitet sie gemäß Art. 60 Abs. 4 DSGVO ein Kohärenzverfahren ein. Der Europäische Datenschutzausschuss erlässt daraufhin gemäß Art. 65 Abs. 1 lit. a DSGVO einen für sowohl die federführende als auch alle betroffenen Aufsichtsbehörden verbindlichen Beschluss über alle Fragen, die Gegenstand des maßgeblichen und begründeten Einspruchs sind.

2. Merkmale eines maßgeblichen und begründeten Einspruchs

491

Nach der Definition von Art. 4 Nr. 24 DSGVO kann ein Einspruch in zwei Konstellationen maßgeblich sein: Zum einen kann die betroffene Aufsichtsbehörde vortragen, dass die federführende Aufsichtsbehörde zu Unrecht von einem Verstoß gegen die DSGVO seitens des jeweiligen Verantwortlichen oder Auftragsverarbeiters ausgeht oder einen tatsächlich vorliegenden Verstoß fälschlicherweise verneint. Zum anderen kann sich ein maßgeblicher und begründeter Einspruch dagegen richten, dass eine seitens der federführenden Aufsichtsbehörde beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter nicht im Einklang mit der DSGVO steht; dies kann etwa der Fall sein, wenn die federführende Aufsichtsbehörde trotz eines festgestellten Verstoßes gegen die DSGVO nicht beabsichtigt, gegen den jeweiligen Verantwortlichen oder Auftragsverarbeiter einzuschreiten oder jedenfalls nach Ansicht einer betroffenen Aufsichtsbehörde eine zu milde oder aber auch zu strenge Maßnahme ergreifen will.

492

Der Einspruch ist begründet, wenn er die Tragweite der Risiken des Beschlussentwurfs klar erkennen lässt, die für die Grundrechte und Grundfreiheiten der Betroffenen und gegebenenfalls für den freien Verkehr personenbezogener Daten bestehen.

493

Darüber hinaus schweigt die DSGVO zu den weiteren erforderlichen Inhalten eines solchen Einspruchs oder dessen erforderlichen Maßes an Konkretisierung. Ausweislich ErwG 124 Satz 4 obliegt es dem Europäischen Datenschutzausschuss, durch Leitlinien weiter herauszuarbeiten, welche Anforderungen an einen maßgeblichen und begründeten Einspruch zu stellen sind.

494

Ob die vorgebrachten Gründe auch materiellrechtlich zutreffend sind, ist für die Erfüllung der Tatbestandsvoraussetzungen der Begriffsbestimmung unerheblich.859 Die inhaltliche Entscheidung darüber, ob der Einspruch letztlich durchgreift oder nicht, obliegt vielmehr dem Europäischen Datenschutzausschuss im Rahmen des Streitbeilegungsverfahrens nach Art. 65 Abs. 1 lit. a DSGVO; die Vorlage eines maßgeblichen und begründeten Einspruchs stellt dabei lediglich eine Verfahrensvoraussetzung dar.

XXVI. Dienst der Informationsgesellschaft (Nr. 25)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

495

Im Rahmen der DSGVO findet der Begriff des Dienstes der Informationsgesellschaft prominenteste Erwähnung im Rahmen von Art. 8 DSGVO, der besondere Voraussetzungen an die Einwilligungserteilung von Minderjährigen im Rahmen ebensolcher Dienste zum Gegenstand hat. Darüber hinaus nehmen die Regelungen von Art. 17 Abs. 1 lit. f (Recht auf Löschung), Art. 21 Abs. 5 (Widerspruchsrecht) sowie Art. 97 Abs. 5 DSGVO Bezug auf die Begriffsbestimmung.

2. Merkmale des Dienstes der Informationsgesellschaft

496

Art. 4 Nr. 25 DSGVO definiert den Begriff des Dienstes der Informationsgesellschaft nicht eigenständig, sondern enthält einen Verweis auf die entsprechende Definition des Art. 1 Nr. 1 lit. b der RL 2015/1535/EU.860 Hiernach wird eine Dienstleistung der Informationsgesellschaft als jede in der Regel gegen Entgelt, elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung definiert.

497

Die Begriffsbestimmung sieht demnach fünf Voraussetzungen vor, die kumulativ vorliegen müssen. Die Regelung des Art. 1 Nr. 1 lit. b der RL 2015/1535/EU konkretisiert dabei drei dieser Voraussetzungen und enthält in Anhang I diesbezüglich jeweils eine Negativliste. Hinsichtlich des Dienstleistungsbegriffs sowie des Merkmals „in der Regel gegen Entgelt“ ist auf die zu den Art. 56ff. AEUV entwickelten Grundsätze zurückzugreifen:

a) Dienstleistung

498

Bei dem Begriff der „Dienstleistung“ ist der allgemeine und weite Begriff der Dienstleistungsfreiheit der Art. 56ff. AEUV zugrunde zu legen. Danach sind alle selbstständigen Leistungen erfasst, die nicht den anderen Grundfreiheiten des AEUV unterfallen. Insbesondere sind – in Abgrenzung zur Warenfreiheit (Art. 34 AEUV) – ausschließlich nichtkörperliche Leistungen umfasst.861 Hierbei ist auf den Schwerpunkt der jeweiligen Leistung abzustellen.862 Demnach fällt etwa ein Webshop zur Bestellung körperlicher Waren unter die Warenverkehrsfreiheit und ist demnach (isoliert) nicht als Dienstleistung i.S.v. Art. 57 AEUV bzw. Art. 1 Nr. 1 lit. b der RL 2015/1535/EU zu klassifizieren.863 Gleiches gilt für die Bewerbung körperlicher Waren.864 Etwas anderes ergibt sich jedoch unter Umständen dann, wenn dem jeweiligen Angebot ein eigener Leistungscharakter zukommt.865 Weitere Eingrenzung erhält der weit zu verstehende Begriff der Dienstleistung durch die übrigen in Art. 1 Nr. 1 lit. b der RL 2015/1535/EU genannten Tatbestandsmerkmale.866

b) In der Regel gegen Entgelt erbracht

499

Auch das Merkmal „in der Regel gegen Entgelt“ dürfte im Zusammenhang mit dem Begriff der „Dienstleistung“ im Lichte der vom EuGH entwickelten Grundsätze zu den Art. 56ff. AEUV auszulegen sein.867 Nach der Rechtsprechung des EuGH bedarf es somit grundsätzlich einer wirtschaftlichen Gegenleistung,868 wobei diese Gegenleistung nicht zwangsläufig auch durch die tatsächlichen Nutzer erbracht werden muss.869 Eine solche Gegenleistung ist bereits anzunehmen, wenn sich der betreffende Dienst beispielsweise durch Werbeeinnahmen870 oder durch die Generierung bzw. den Handel mit Nutzerdaten finanziert.871 Das Merkmal setzt demnach nicht voraus, dass der Nutzer im konkreten Fall eine monetäre Gegenleistung erbringt, mithin dass Leistung und Gegenleistung in einem direkten, synallagmatischen Austauschverhältnis stehen.872 Entscheidend ist vielmehr, dass der Dienst selbst auf kommerzieller Basis erbracht wird, etwa da er zur (indirekten) Bewerbung von Waren oder anderen Dienstleistungen angeboten wird.873 Ferner bejaht der EuGH eine Entgeltlichkeit auch dann, wenn nicht der Leistungsempfänger, sondern ein Dritter die Gegenleistung erbringt.874 Eine Entgeltlichkeit kann auch im Falle von öffentlichen Leistungen anzunehmen sein, sofern diese nicht im Wesentlichen aus dem allgemeinen Staatshaushalt, mithin durch Steuern, und nicht durch eine entsprechende Gegenleistung, also etwa durch Beiträge oder Gebühren, finanziert werden.875

c) Im Fernabsatz erbracht

500

Eine „im Fernabsatz erbrachte“ Dienstleistung ist eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird. Es genügt nicht, wenn die jeweilige Dienstleistung mittels elektronischer Geräte erbracht wird, die Vertragsparteien hierbei jedoch anwesend sind.

d) Elektronisch erbracht

501

Eine Dienstleistung ist „elektronisch erbracht“, wenn sie mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und dabei vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischen Wege gesendet, weitergeleitet und empfangen wird.

502

Anhang I der RL 2015/1535/EU sieht dabei eine Vielzahl von Ausnahmen vor. Zum einen sind hierunter nicht Dienste zu fassen, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden (z.B. Geld- und Fahrkartenautomaten sowie Geräte, welche den Zugang zu gebührenpflichtigen Straßennetzen, Parkplätzen usw. kontrollieren). Zum anderen fallen ebenfalls offline erbrachte Dienste nicht unter den Begriff, auch wenn der Zugang zu ihnen online vermittelt wird (z.B. Vertrieb von Software auf haptischen Datenträgern).876 Letztlich werden solche Dienste ausgeschlossen, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden. Anhang I der RL 2015/1535/EU nennt dabei explizit Sprachtelefondienste, Telefax-/Telexdienste, über Sprachtelefon oder Telefax erbrachte Dienste sowie die anwaltlich oder medizinische Beratung per Telefon/Telefax und das auf gleichem Wege erbrachte Direktmarketing.

e) Auf individuellen Abruf eines Empfängers erbracht

503

Eine „auf individuellen Abruf eines Empfängers“ erbrachte Dienstleistung liegt dann vor, wenn die Dienstleistung durch Übertragung von Daten auf individuelle Anforderung erbracht wird. Nicht darunter fallen demnach linear, mithin ohne individuellen Abruf gleichzeitig für eine unbegrenzte Zahl von Empfängern erbrachte Dienste wie etwa Fernsehen oder Hörfunk.

XXVII. Internationale Organisation (Nr. 26)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

504

Internationale Organisationen unterliegen grundsätzlich nicht dem Recht einzelner Staaten und damit keinem (nationalen oder unionsweitem) Datenschutzrecht.877 Die DSGVO behandelt internationale Organisationen daher wie Drittländer. Ausweislich ErwG 101 finden demnach die ergänzenden Anforderungen von Art. 44ff. DSGVO an Übermittlungen von personenbezogenen Daten an Stellen außerhalb der EU ebenfalls Anwendung, wenn personenbezogene Daten aus der EU an internationale Organisationen übermittelt werden sollen.

505

Wie auch Drittstaaten kann die EU-Kommission gemäß Art. 45 DSGVO i.V.m. ErwG 103 per Angemessenheitsbeschluss auch internationalen Organisationen ein angemessenes Schutzniveau attestieren und somit eine Übermittlung an solche internationalen Organisationen auf zweiter Stufe für zulässig erklären.

506

Ausweislich ErwG 102 dürfen die Mitgliedstaaten zudem internationale Übereinkünfte schließen, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen beinhalten, sofern sich diese Übereinkünfte weder auf die DSGVO noch auf andere Bestimmungen des Unionsrechts auswirken. Art. 96 DSGVO stellt dabei klar, dass bestehende internationale Übereinkünfte, die im Einklang mit dem vor Inkrafttreten der DSGVO geltenden Unionsrecht abgeschlossen wurden, in Kraft bleiben, bis sie geändert, ersetzt oder gekündigt werden.

2. Merkmale einer internationalen Organisation

507

Eine internationale Organisation im Sinne der DSGVO zeichnet sich nach Art. 4 Nr. 26 DSGVO dadurch aus, dass es sich um eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung handelt, die durch eine zwischen zwei oder mehreren Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft getroffen wurde.

508

Auch ohne entsprechende Legaldefinition besteht bezüglich der Merkmale einer völkerrechtlichen Organisation weitestgehend Einigkeit. Sie muss entweder durch ein bi- oder multilaterales völkerrechtliches Übereinkommen geschaffen werden oder (abgeleitet) auf der Grundlage eines solchen Übereinkommens bestehen. Zudem muss eine völkerrechtliche Organisation mit eigenen Aufgaben betraut sein sowie zumindest über ein Organ verfügen und damit handlungsfähig sein.878 Ferner muss sie Völkerrechtspersönlichkeit aufweisen und damit Träger völkerrechtlicher Rechte und Pflichten sein können.879

509

Nicht erfasst sind demgegenüber nichtstaatliche Organisationen (NGO), da sie gerade nicht auf einem völkerrechtlichen Übereinkommen beruhen. Als Verbände unterliegen sie daher dem jeweiligen nationalen Datenschutzrecht. Eine Ausnahme besteht allenfalls dann, wenn ihnen ein völkerrechtliches Mandat zukommt.880

1 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9.9.2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1). 2 Kritisch bezüglich der ausschließlichen Anknüpfung an personenbezogene Daten und für eine Einbeziehung von materiellen Schutzpositionen (wie z.B. nach Art. 1 und 8 GRCh) Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 1 Rn. 2. 3 So im Ergebnis auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 2; Karg, DuD 2015, 520, 521. Zu den konkreten Unterschieden sogleich in den einzelnen Merkmalen. Ausführlich zur Entstehungsgeschichte des Art. 4 Nr. 1 DSGVO Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 1 Rn. 4ff. 4 Insbesondere Art.-29-Datenschutzgruppe, WP 136, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007, Art.-29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014 zu Anonymisierungstechniken v. 10.4.2014 und EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 842, 845. 5 Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 6; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 8; noch zur Definition von personenbezogenen Daten in Art. 2 lit. a DSRl, welche ebenfalls „alle Informationen“ umfasste, Art.-29-Datenschutzgruppe, WP 136, 7; zum Vergleich mit dem Datenbegriff der Informatik Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8. 6 Art.-29-Datenschutzgruppe, WP 136, 7; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 7. Ausführlich zu Werturteilen Gola, in: Gola, DS-GVO, Art. 4 Rn. 12. 7 Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 9, und Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8, jeweils mit Verweis auf BVerfG, 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419, 422 – Volkszählungsurteil. 8 Vgl. ErwG 51 Satz 3 DSGVO. 9 Vgl. die biologische Analyse zur Gewinnung genetischer Daten in Art. 4 Nr. 13 DSGVO, Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 275. 10 Art.-29-Datenschutzgruppe, WP 136, 8ff.; vgl. auch die Technologieneutralität in ErwG 15 DSGVO; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 7. 11 Ähnlich Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8. 12 Zur binären Natur des Personenbezuges, der eine Rechtsgüterabwägung ausschließt, Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 1 Rn. 14ff. 13 Art.-29-Datenschutzgruppe, WP 105, 9. 14 Art.-29-Datenschutzgruppe, WP 136, 11ff. 15 „IP“ steht für „Internet Protocol“ und ist das grundlegende Netzwerkprotokoll für das Internet. Computern wird im Internet eine IP-Adresse zugeteilt, um sie adressieren zu können, die entweder 32 Bit lang ist nach IPv4 (z.B. 207.142.131.235) oder zukünftig 128 Bit lang nach IPv6 (z.B. 2001:0db8:85a3:08d3:1319:8a2e:0370:7344). Ferner ist zwischen statischen, mithin dauerhaft zugeteilten, und dynamischen, mithin lediglich temporär zugeteilten, IP-Adressen zu differenzieren. 16 Hier kommt es gerade noch nicht darauf an, ob bzw. wie der dahinterstehende Nutzer tatsächlich identifiziert werden kann. 17 Art.-29-Datenschutzgruppe, WP 148, 9. 18 Ausführlich Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 22f. 19 Art.-29-Datenschutzgruppe, WP 136, 13; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 8. 20 Art.-29-Datenschutzgruppe, WP 136, 13. 21 Art.-29-Datenschutzgruppe, WP 136, 13. 22 Im Gegensatz zur DSGVO ist im Entwurf der EU-Kommission zur sich noch im Gesetzgebungsprozess befindlichen ePrivacy-Verordnung vorgesehen, dass all diese Kommunikationsdaten von vernetzten Geräten (machine-to-machine communcations) unabhängig vom Personenbezug geschützt sind. Der Entwurf des LIBE-Ausschusses des Europäischen Parlaments schlägt allerdings wiederum eine Einschränkung auf Kommunikationsdaten vor, die sich auf Nutzer beziehen. Der jüngste Entwurf des Rats sieht diese Einschränkung hingegen nicht vor. Es bleibt insofern abzuwarten, was die für die zweite Hälfte des Jahres 2018 geplanten Trilog-Verhandlungen ergeben. 23 Art.-29-Datenschutzgruppe, WP 136, 25. 24 So auch schon nach ErwG 2 DSRl, Art.-29-Datenschutzgruppe, WP 136, 25. 25 Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 34; noch weiter, weil auch den Schutz von anderen Zusammenschlüssen von Personen als ausgeschlossen ansehend Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 14; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 4; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 5; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 8, lässt darunter auch Bürgerinitiativen fallen. 26 Siehe Art.-29-Datenschutzgruppe, WP 136, 27, mit Verweis im Hinblick auf die Zulässigkeit einer solchen Ausweitung unter der DSRl auf EuGH, Urt. v. 6.11.2003 – Rs. C-101/01, EuZW 2004, 245, 252, Rn. 98 – Lindqvist; vgl. insoweit auch zur unter Umständen bestehenden grundrechtlichen Schutzfähigkeit juristischer Personen Gola, in: Gola, DS-GVO, Art. 4 Rn. 24. 27 Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 8. 28 Braun, in: Beck’scher TKG-Kommentar, § 91 Rn. 21 m.w.N. 29 Art.-29-Datenschutzgruppe, WP 136, 27. 30 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 318, mit Verweis u.a. auf BGH, Urt. v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505, 2506, und BGH, Urt. v. 24.6.2003 – VI ZR 3/03, NJW 2003, 2904, 2904f.; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 14; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 4; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 13. 31 Art.-29-Datenschutzgruppe, WP 136, 27; vgl. auch im Hinblick auf den Schutzbereich der Art. 7 und 8 GRCh EuGH, Urt. v. 9.11.2010 – Rs. C-92/09, und C-93/09, EuZW 2010, 939, 941, Rn. 53. 32 Art.-29-Datenschutzgruppe, WP 136, 27. 33 ErwG 27 Satz 1 DSGVO. 34 Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 5; Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 11; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 13; vgl. noch zur DSRl Art.-29-Datenschutzgruppe, WP 136, 26. 35 Kritisch insofern Gola, in: Gola, DS-GVO, Art. 4 Rn. 29; vgl. aber § 4 Abs. 1 Satz 2 BlnDSG: „Entsprechendes gilt für Daten über Verstorbene, es sei denn, dass schutzwürdige Belange des Betroffenen nicht mehr beeinträchtigt werden können“. 36 Z.B. BVerfG, Urt. v. 16.9.2008 – VI ZR 244/07, NJW 2009, 751 – Ehrensache; BGH, Urt. v. 1.12.1999 – I ZR 49/97, NJW 2000, 2195 – Marlene Dietrich; AG Mettmann, Urt. v. 16.6.2015 – 25 C 384/15, ZD 2016, 140. 37 Z.B. § 203 Abs. 5 StGB, § 35 Abs. 5 SGB I i.V.m. § 67 SGB X, § 22 KUG, § 7 Abs. 1 Satz 3 KrankenhausG; vgl. Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 11f.; Gola, in: Gola, DS-GVO, Art. 4 Rn. 26f. 38 Hierzu ausführlich Leipold, in: MüKo-BGB, § 1922 Rn. 31ff. 39 LG Berlin, Urt. v. 17.12.2015 – 20 O 172/15, ZD 2016, 182, mit Anm. Solmecke/Schmitt, ZD 2016, 186. 40 Bezogen auf den Auskunftsanspruch nach § 34 BDSG a.F. im Ergebnis auch Klas/Möhrke-Sobelewski, NJW 2015, 3473, 3475f.; a.A. aber LG Berlin, Urt. v. 17.12.2015 – 20 O 172/15, ZD 2016, 182, 186: „Allerdings erscheint es unbillig, die Erben auf der einen Seite als Rechtsnachfolger des Erblassers anzusehen, auf der anderen Seite aber nicht als Betroffene i.S.d. § 34 BDSG“; Leeb, K&R 2016, 139, 140; Solmecke/Köbrich/Schmitt, MMR 2015, 291, 292ff.; beschränkt auf diejenigen Verarbeitungen, die zu Lebzeiten des Betroffenen stattgefunden haben, Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 11. 41 Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 9f., stellt zur DSRl allgemein darauf ab, dass das mitgliedstaatliche Rechtssystem insofern entscheidend sei; Art.-29-Datenschutzgruppe, WP 136, 26f. 42 Vgl. Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 1 Rn. 40. 43 Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 7; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 10; i.E. auch, aber ohne Begründung, sondern nur mit Verweis auf ErwG 27, Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 4. 44 Vgl. aber die Situation eingefrorener Embryonen Art.-29-Datenschutzgruppe, WP 136, 27; Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 10. 45 Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 7; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 12. 46 Ebenso Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 6; Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, Art. 4 Rn. 2. 47 Noch zur DSRl EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 38 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845; zur DSGVO Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 18; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 14. 48 Noch zur DSRl Art.-29-Datenschutzgruppe, WP 136, 14; Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 16. 49 Vgl. ErwG 26 Satz 3. 50 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 291. 51 Art.-29-Datenschutzgruppe, WP 136, 15. 52 Art.-29-Datenschutzgruppe, WP 136, 15. 53 Art.-29-Datenschutzgruppe, WP 136, 15. 54 Bejahend etwa Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 16; zur alten Rechtslage auch Dammann, in: Simitis, § 3 BDSG Rn. 22. 55 So auch zur alten Rechtslage Dammann, in: Simitis, § 3 BDSG Rn. 22. 56 So auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 39. 57 Zu dynamischen IP-Adressen EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 38 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845; so auch allgemein zu technischen Eigenschaften von Endgeräten Dieterich, ZD 2015, 199, 201; a.A. hinsichtlich Cookie-IDs Art.-29-Datenschutzgruppe, WP 171, 11 und Art.-29-Datenschutzgruppe, WP 148, 9; Karg, ZD 2012, 255, 257f.; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 292ff.; a.A. allgemein hinsichtlich Device Fingerprinting Art.-29-Datenschutzgruppe, WP 188, 9; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 292ff. 58 EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 38 i.V.m. 40, 41 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845. 59 In diesem Zusammenhang nicht im datenschutzrechtlichen Sinne gemeint, da das datenschutzrechtliche Synonym personenbezogene Daten voraussetzt. 60 A. A. aber Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 292ff. 61 Moos/Rothkegel, MMR 2016, 842, 846. 62 Art.-29-Datenschutzgruppe, WP 136, 15. 63 Diese gesetzliche Auflistung ist schon aufgrund der Verwendung des Wortes „insbesondere“ nicht abschließend. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 17, nennt die Kennungsbeispiele „Regelbeispiele“. 64 Das Merkmal der genetischen Identität war noch nicht in Art. 2 lit. a DSRl enthalten. 65 Art.-29-Datenschutzgruppe, WP 136, 16. 66 Die Formulierung „nach allgemeinem Ermessen wahrscheinlich“ in ErwG 26 Satz 3 unterscheidet sich nur sprachlich in der deutschen Fassung von „vernünftig einsetzbare Mittel“ im ErwG 26 Satz 2 DSRl, nicht aber inhaltlich, wie die fast gleiche Formulierung („reasonably likely to be used“/„likely reasonably be used“) in den englischen Fassungen zeigt (es dürfte sich insofern in der deutschen Fassung um ein Redaktionsversehen handeln), sodass die entsprechende EuGH-Rechtsprechung übernommen werden kann, ebenfalls Kring/Marosi, K&R 2016, 773, 776; a.A. aber, das Bezugsobjekt und damit auch die Bedeutung habe sich durch die Umstellung geändert, Krügel, ZD 2017, 455, 459. 67 Wójtowicz/Cebulla, PinG 2017, 186, 188; so schon zur DSRl Art.-29-Datenschutzgruppe, WP 136, 17. 68 Wójtowicz/Cebulla, PinG 2017, 186, 188. 69 EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 46 – Breyer. 70 Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 16. 71 EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 46 – Breyer; so auch Brink/Eckhardt, ZD 2015, 205, 211; Kühling/Klar, ZD 2017, 24, 28; a.A. aber Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 17; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 29; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 23; Bergt, ZD 2015, 365, 370; Krügel, ZD 2017, 455, 459, der europäische Gesetzgeber habe bei der DSGVO eine andere Wertung getroffen, indem er den Wortlaut des ErwG 26 Satz 3 im Vergleich zu ErwG 26 Satz 2 DSRl geändert hat. Letztere Ansicht überzeugt schon deshalb nicht, weil in den englischen Fassungen der beinahe identische Wortlaut wohl keine dementsprechende inhaltliche Änderung zur Folge haben dürfte. 72 Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 24, mit Verweis auf GA Sánchez-Bordona – Rs. C-582/14, BeckRS 2016, 81027 Rn. 77; Piltz, K&R 2016, 557, 56; wohl auch Brink/Eckhardt, ZD 2015, 205, 211. 73 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 284. 74 Die geforderte Berücksichtigung der technologischen Entwicklung führt dazu, dass zumindest absehbare oder zu erwartende technologische Entwicklungen bei der Frage nach den wahrscheinlich verwendeten Mitteln einzubeziehen sind (so Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 24; Piltz, K&R 2016, 557, 561; Schantz, NJW 2016, 1841, 1843; wohl auch Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Rn. 5; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 284, fordert insofern, dass nur technische Entwicklungen einbezogen werden, die sich – angelehnt an den „Stand der Wissenschaft und Technik“ – bereits in der wissenschaftlichen Entwicklung abzeichnen), was insbesondere neue, verbesserte Formen der Datenanalyse umfassen dürfte (allgemein Zukunftsprognosen über Zuordnungstechniken wie Big Data fordernd Roßnagel/Nebel/Richter, ZD 2015, 455, 456). 75 Eine ausführliche Zusammenstellung aller vertretenen Ansichten findet sich z.B. bei Bergt, ZD 2015, 365. 76 Noch zur alten Rechtslage LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08, ZD 2013, 618, 619, welches aber dem relativen Ansatz folgt. 77 Härting, DSGVO, Rn. 281ff.; Breyer, ZD 2014, 400; Buchner, DuD 2016, 155, 156; Dregelies, VuR 2017, 256, 257; in Kombination mit einem graduellen Begriff des Personenbezugs Herbst, NVwZ 2016, 902, 905f.; in der Tendenz auch Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 3. 78 Düsseldorfer Kreis, Beschl. v. 26./27.11.2009. Die Art.-29-Datenschutzgruppe neigte hingegen eher dem relativen Ansatz zu, Art.-29-Datenschutzgruppe, WP 136, 19f. und Art.-29-Datenschutzgruppe, WP 148, 9. 79 Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 15; Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 1 Rn. 7ff.; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 9ff.; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 14f.; Eckhardt, CR 2016, 786, 789; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 13; Kartheuser/Gilsdorf, MMR-Aktuell 2016, 382533; Roßnagel/Kroschwald, ZD 2014, 495, 496f. 80 Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, Art. 4 Rn. 5; Gola, in: Gola, DS-GVO, Art. 4 Rn. 16ff.; Brink/Eckhardt, ZD 2015, 205, 209; Hansen/Struwe, GRUR-Prax 2016, 503; Hofmann/Johannes, ZD 2017, 221. 81 Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 26; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 277ff.; Karg, DuD 2015, 520, 525; Kipker/Kubis, MMR 2017, 605, 609; Kring/Marosi, K&R 2016, 773, 774 und 776; Krügel, ZD 2017, 455, 459; Kühling/Klar, ZD 2017, 24, 28; Mantz/Spittka, NJW 2016, 3579, 3582; Marnau, DuD 2016, 428, 429f.; Moos/Rothkegel, MMR 2016, 842, 845; Schantz, NJW 2016, 1841, 1842f.; Weinhold, ZD-Aktuell 2016, 05366; Ziegenhorn, NVwZ 2017, 213, 217; wohl auch Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 33ff. 82 EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843f., Rn. 43ff. 83 Auf Englisch „Internet Service Provider“ (ISP). 84 EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843f., Rn. 44ff. 85 Vgl. insofern auch ErwG 4 Satz 2, wonach das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist, sondern es im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss. 86 Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 10. 87 EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843f., Rn. 47ff. 88 Dafür, dass stets der Einzelfall betrachtet werden müsse, Hansen/Struwe, GRUR-Prax 2016, 503, 503; dagegen jedoch, ein abstrakter Auskunftsanspruch reiche aus, Schlussanträge GA Sánchez-Bordona – Rs. C-582/14, BeckRS 2016, 81027, Rn. 75ff.; Bierekoven, NJW 2017, 2416, 2420; Kipker/Kubis, MMR 2017, 605, 609; Schreiber, GRUR-Prax 2017, 333; kritisch aber Hoeren, WUB 2017, 606, 607. 89 Voigt/Skistims, BB 2016, 2830, 2834. 90 BGH, Urt. v. 16.5.2017 – VI ZR 135/13, NJW 2017, 2416, 2418, Rn. 26. 91 Vgl. BGH, Urt. v. 16.5.2017 – VI ZR 135/13, NJW 2017, 2416, 2418, Rn. 26. 92 BGH, Urt. v. 16.5.2017 – VI ZR 135/13, NJW 2017, 2416, 2418, Rn. 26. 93 So auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 28. 94 So allgemein auch Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 37. 95 Hierzu Art.-29-Datenschutzgruppe, WP 136, 20. 96 Ebenso Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 35; Bergt, ZD 2015, 365, 370; Keppeler, CR 2016, 360, 363. 97 Zum Verhältnis des KUG und der DSGVO ausführlich Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1059ff.; Sundermann, K&R 2018, 438, 438ff. 98 Vgl. Specht, in: Dreier/Schulze, § 22 KUG Rn. 17f. 99 Für eine Anwendung von Art. 14 EU-DSGVO statt von Art. 13 EU-DSGVO im Falle des Fotografierens von großen Menschenmengen oder Menschen als Beiwerk von Sehenswürdigkeiten, sofern Art. 11 EU-DSGVO nicht greifen sollte, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus, S. 6ff. 100 So etwa Remmertz, MMR 2018, 507, 508. 101 Vgl. insoweit auch unter Verweis auf die Kunstfreiheit nach Art. 13 GRCh: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus, S. 5; in diese Richtung auch Ziebarth/Elsaß, ZUM 2018, 578, 584. 102 BGH, 14.10.1986 – VI ZR 10/96, NJW-RR 1987, 231 – Nena; OLG Frankfurt am Main, 24.2.2011 – 16 U 172/10, ZUM-RD 2011, 408; bei Arbeitnehmern BAG, 11.12.2014 – 8 AZR 1010/13, NJW 2015, 2140, 2144 Rn. 38ff.; für eine Übertragung des Grundsatzes vom KUG auf die EU-DSGVO ausführlich Dzida/Grau, DB 2018, 189, 190. 103 Golz/Gössling, IPRB 2018, 68, 70f.; Hansen/Brechtel, GRUR-Prax, 2018, 369, 369. 104 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus, S. 2ff.; Ziebarth/Elsaß, ZUM 2018, 578, 584; Paschke/Halder, jurisPR-ITR 15/2018 Anm. 3; Sundermann, K&R 2018, 438, 439f.; a.A. zur alten Rechtslage Renner, ZUM 2015, 608, 609; in diese Richtung auch Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1059; jedenfalls für journalistische Zwecke auch bei der Anfertigung von einem Anwendungsvorrang des KUG ausgehend Bundesregierung, BT-Drs. 19/4421, S. 47. 105 Interessant insofern § 19 des Entwurfs zum neuen BlnDSG (https://www.parlament-berlin.de/ados/18/KTDat/vorgang/ktd18-0063-v.pdf), der die Anwendung der EU-DSGVO bei Verarbeitungen aufgrund von §§ 22, 23 KUG größtenteils nicht anwenden möchte. Es ist allerdings schon fraglich, ob ein Bundesland hierzu überhaupt die nötige Gesetzgebungskompetenz für einen solchen Ausschluss hat. 106 So Lembke, in: Henssler/Willemsen/Kalb, Art. 88 DSGVO Rn. 105; Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, S. 287; Flisek/Thiess, IPRB 2018, 112, 115; ebenfalls, um eine Zersplitterung zwischen Zwecken, die unter Art. 85 Abs. 2 EU-DSGVO fallen und solchen, die es nicht tun, zu vermeiden, Sundermann, K&R 2018, 438, 442f.; i.E. wohl auch Remmertz, GRUR-Prax 2018, 254, 256. 107 Vgl. hierzu: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus, S. 6ff.; Sundermann, K&R 2018, 438, 440 der anführt, dass jedenfalls im Falle der Aufnahme von Menschenmengen die Ausnahme nach Art. 11 Abs. 1 DSGVO, hilfsweise nach Art. 14 Abs. 5 lit. b DSGVO, greifen solle. 108 So Bundesregierung, BT-Drs. 19/4421, S. 47; Bundesministerium des Innern, für Bau und Heimat (BMI), FAQs zur Datenschutzgrundverordnung, https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html sowie: Häufig nachgefragt – Datenschutz-Grundverordnung, https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html; die Landesbeauftragte für den Datenschutz Niedersachsen, Anfertigung und Veröffentlichung von Personenfotografien nach dem 25.5.2018 im nicht-öffentlichen Bereich, http://www.lfd.niedersachsen.de/download/132460/Merkblatt_zur_Anfertigung_und_Veroeffentlichung_von_Personenfotografien_nach_dem_25._Mai_2018_im_nicht-oeffentlichen_Bereich.pdf; Golz/Gössling, IPRB 2018, 68, 70; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060f.; Specht, MMR 2017, 577, 577; vgl. auch Louisa Specht, in: Sydow, DS-GVO, Art. 85 Rn. 11; a.A. wohl Bergt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, H.I.1., der zwar die Anwendungsfrage in einem ersten Schritt offen lässt, aber die Wertungen der DSGVO anwendet. 109 So Bundesministerium des Innern, für Bau und Heimat (BMI), FAQs zur Datenschutzgrundverordnung, https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutzgrundverordnung.html sowie: Häufig nachgefragt – Datenschutz-Grundverordnung, https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html; die Landesbeauftragte für den Datenschutz Niedersachsen, Anfertigung und Veröffentlichung von Personenfotografien nach dem 25.5.2018 im nicht-öffentlichen Bereich, http://www.lfd.niedersachsen.de/download/132460/Merkblatt_zur_Anfertigung_und_Veroeffentlichung_von_Personenfotografien_nach_dem_25._Mai_2018_im_nicht-oeffentlichen_Bereich.pdf; Golz/Gössling, IPRB 2018, 68, 70; Sundermann, K&R 2018, 438, 441f. m.w.N.; vgl. auch Louisa Specht, in: Sydow, DS-GVO, Art. 85 Rn. 11. 110 OLG Köln, 18.6.2018 – 15 W 27/18, GRUR-Prax 2018, 383 m. Anm. Müller. 111 So Bundesministerium des Innern, für Bau und Heimat (BMI), FAQs zur Datenschutzgrundverordnung; die Landesbeauftragte für den Datenschutz Niedersachsen, Anfertigung und Veröffentlichung von Personenfotografien nach dem 25.5.2018 im nicht-öffentlichen Bereich; Golz/Gössling, IPRB 2018, 68, 70; Paschke/Halder, jurisPR-ITR 15/2018 Anm. 3. 112 So Bundesregierung, BT-Drs. 19/4421, S. 47, 48; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1061f.; Ziebarth/Elsaß, ZUM 2018, 578, 582–583; Golz/Gössling, IPRB 2018, 68, 72; Schulz/Heilmann, in: Gierschmann/Schlender/Stentzel/Veil, DS-GVO, Art. 85 Rn. 7; wohl auch, aber ohne Begründung Bundesministerium des Innern, für Bau und Heimat (BMI), FAQs zur Datenschutzgrundverordnung. 113 Ähnlich klingt das bei BAG, 11.12.2014 – 8 AZR 1010/13, NJW 2015, 2140, 2141, Rn. 16, bei der Abgrenzung von BDSG a.F. und KUG an, bei der Veröffentlichung einer Videoaufnahme als Streitgegenstand gingen die Regelungen des KUG vor. 114 In diese Richtung auch Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1059; ausführlich ferner Specht, in: Dreier/Schulze, UrhG, § 22 KUG Rn. 11ff. m.w.N. 115 Specht, in: Dreier/Schulze, UrhG, § 22 KUG Rn. 12; Fricke, in: Wandtke/Bullinger, UrhG, § 22 KUG Rn. 9. 116 So auch BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 3; vgl. die gleichlaufende Regelung nach der DSRl Art.-29-Datenschutzgruppe, WP 136, 24. 117 Anders noch als § 3 Abs. 6 BDSG a.F. Verschiedene deutsche Landesgesetzgeber planen eine Definition von anonymen Daten bzw. der Anonymisierung in ihren Landesgesetzen (z.B. Brandenburg in § 3 BbgDSG-E, Hamburg in § 11 Abs. 2 Satz 1 HmbDSG, Hessen in § 2 Abs. 4 HDSIG-E, Nordrhein-Westfalen in § 38 Nr. 6 DSG NRW-E), was aufgrund der (wohl bewusst) fehlenden Definition in Art. 4 DSGVO europarechtlich zumindest fragwürdig ist; a.A. aber im Hinblick auf das SGB Bieresborn, NZS 2017, 887, 890. 118 Vgl. mit Abweichungen im Detail § 3 BbgDSG; § 2 Abs. 4 BremDSG; § 11 Abs. 2 HmbDSG und LT-Drs. 21/11987, S. 10; § 4 DSG NRW; § 24 Nr. 18 DSG Nds; § 3 Abs. 2 S. 2 Nr. 4 Sächs. DSG; § 2 Abs. 7 DSG LSA; § 13 Abs. 2 Schleswig-Holsteinisches DSG; § 28 Abs. 3 ThürDSG. 119 Ebenso Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 20; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 30; noch zur DSRl Art.-29-Datenschutzgruppe, WP 136, 24. 120 So schon zur DSRl Art.-29-Datenschutzgruppe, WP 136, 24. 121 Wójtowicz/Cebulla, PinG 2017, 186, 189, mit Verweis auf EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 46 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845; ähnlich Art.-29-Datenschutzgruppe, WP 216, 11: „nicht hinnehmbares Risiko einer Identifizierung“. 122 Wójtowicz/Cebulla, PinG 2017, 186, 191, mit noch weiteren aufgelisteten Mitteln. 123 Art.-29-Datenschutzgruppe, WP 216, 10; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 20. 124 Karg, DuD 2015, 520, 526; Wójtowicz/Cebulla, PinG 2017, 186, 190; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 21; noch zur DSRl im Hinblick auf bestehende Restrisiken, Art.-29-Datenschutzgruppe, WP 216, 4, 28, 29f. 125 Art.-29-Datenschutzgruppe, WP 216, wobei jeweils für die einzelnen Anonymisierungstechniken eine genaue Einordnung des Schutzniveaus erfolgt sowie häufige Fehler und Schwachstellen dargestellt werden; siehe auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 34; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 158ff.; Schefzig, K&R 2014, 772, 776. 126 Art.-29-Datenschutzgruppe, WP 216, 3, 13ff. 127 Wójtowicz/Cebulla, PinG 2017, 186, 191. 128 Art.-29-Datenschutzgruppe, WP 216, 14ff. 129 Art.-29-Datenschutzgruppe, WP 216, 14f. 130 Art.-29-Datenschutzgruppe, WP 216, 16f. 131 Art.-29-Datenschutzgruppe, WP 216, 17ff. 132 Die deutschen Aufsichtsbehörden halten es z.B. für ausreichend, wenn das letzte Oktett der IP-Adressen überschrieben wird, da so eine zweifelsfreie Zuordnung zu einer natürlichen Person nicht mehr möglich sei: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Beanstandungsfreier Betrieb von Google Analytics ab sofort möglich (http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html; Bayerisches Landesamt für Datenschutzaufsicht, Onlineprüfung Adobe Analytics (Omniture), (http://www.lda.bayern.de/onlinepruefung/adobeanalytics.html). Zur Anonymisierung einer MAC-Adresse durch Kürzung der mit einem sog. „Salt“ versehenen MAC-Adresse in gehashter Form: Der Hessische Datenschutzbeauftragte, 43. Tätigkeitsbericht, 5.4.1; voraussetzend, dass die MAC-Adressen durch einen täglich wechselnden Hash-Schlüssel verrechnet werden: Bayerisches Landesamt für Datenschutzaufsicht, 6. Tätigkeitsbericht 2013/2014, S. 167. 133 Art.-29-Datenschutzgruppe, WP 216, 34. 134 Vgl. Art.-29-Datenschutzgruppe, WP 136, 25. 135 Art.-29-Datenschutzgruppe, WP 136, 21. 136 Vgl. insoweit VG Bayreuth, Beschl. v. 8.5.2018 – B 1 S 18.105, bei dem eine entsprechende Rückführung des gebildeten Hash-Werts offenbar gegeben war. 137 Art.-29-Datenschutzgruppe, WP 216, 19. 138 Art.-29-Datenschutzgruppe, WP 216, 19. 139 Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 38f. 140 So auch BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand:. 29.6.2020, S. 4. 141 Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 12. 142 Vgl. zur alten Rechtslage Dammann, in: Simitis, § 3 BDSG Rn. 27 i.V.m. 31. 143 Vgl. das Beispiel der pharmazeutischen Forschungsdaten der Art.-29-Datenschutzgruppe, bei denen nur der der ärztlichen Schweigepflicht unterliegende Arzt die Patientennamen kennt; aus Sicht des die Daten verarbeitenden Pharmakonzerns sei unter den Umständen, dass weder zusätzliche Informationen zur Identifizierbarkeit vorliegen oder alle weiteren rechtlichen, technischen und organisatorischen Maßnahmen zur Verhinderung einer Re-Identifizierung getroffen wurden, von anonymen Daten auszugehen, Art.-29-Datenschutzgruppe, WP 136, 18. 144 Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 29. 145 Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 28. 146 Rat der Europäischen Union, 2012/0011 (COD), 9565/15, S. 77. 147 Vgl. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 47ff.; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14; OVG Hamburg, Beschl. v. 15.10.2020 – 5 Bs 152/20, BeckRS 2020, 30248 Rn. 21. 148 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 47. 149 Siehe z.B. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 15; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 21. 150 OVG Hamburg, Beschl. v. 15.10.2020 – 5 Bs 152/20, BeckRS 2020, 30248 Rn. 21. 151 Siehe z.B. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 34. 152 Siehe z.B. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 18. 153 So auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 16. 154 So aber z.B. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 50; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14. 155 A. A. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14. 156 A.A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 50. 157 Hervorhebung durch die Verfasser. 158 So auch OVG Hamburg, Beschl. v. 15.10.2020 – 5 Bs 152/20, BeckRS 2020, 30248 Rn. 22f., das in diesem Zusammenhang klarstellt, dass eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO zwar eine willensgetragene menschliche Aktivität, also eine Handlung, voraussetze (siehe hierzu oben Rn. 62). Hiervon sei aber der subjektive Verarbeitungswille zu unterscheiden, der eben keine Bedingung für das Vorliegen einer Verarbeitung sei. 159 A.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 35, der eine Erhebung direkt von der betroffenen Person verlangt. Dieses Verständnis ist jedoch nicht mit Art. 14 DSGVO vereinbar, der ausdrücklich auch die Erhebung von Daten aus anderen Quellen als von der betroffenen Person vorsieht. 160 A. A. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 161 Siehe zu § 3 Abs. 3 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 102, 106f. Siehe zu Art. 4 Nr. 2 DSGVO z.B. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 162 Siehe z.B. zu § 3 Abs. 3 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 102; zu Art. 4 Nr. 2 DSGVO z.B. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 35f.; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 163 Siehe z.B. zu § 3 Abs. 3 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 104; zu Art. 4 Nr. 2 DSGVO z.B. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 36; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 164 Siehe zu § 3 Abs. 3 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 104. 165 Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 15; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 166 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 56; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 24; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 15; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 22; zu § 3 Abs. 4 Satz 1 Nr. 2 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 115. 167 So auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 24f.; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 56, 61; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 42; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 24; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 15; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 16. 168 Siehe z.B. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 58; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 17. 169 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 23; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 17. 170 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 23. 171 So die umgangssprachliche Bedeutung des Wortes „ordnen“, siehe „ordnen“ auf Duden online, https://www.duden.de/node/155011/revision/155047; vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 23; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 59. 172 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 59; a.A. wohl Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 18. 173 So auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 25; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 61; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 42; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 24. 174 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 24; a.A. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 19, der verlangt, dass die Aufbewahrung unter der Herrschaft des Verantwortlichen erfolgen müsse. 175 OVG Hamburg, Beschl. v. 15.10.2020 – 5 Bs 152/20, BeckRS 2020, 30248 Rn. 21. Hiervon ist aber der Prozess der Einlagerung strikt zu unterscheiden. 176 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 26; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 27. 177 Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 21. 178 Siehe zu § 3 Abs. 4 Nr. 2 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 129. 179 Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 45; vgl. auch zu § 3 Abs. 4 Nr. 2 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 129. 180 Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 45; vgl. auch zu § 3 Abs. 4 Nr. 2 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 129; a.A. z.B. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 5. 181 Siehe zu § 3 Abs. 4 Nr. 2 BDSG a.F. Gola/Schomerus, BDSG, § 3 Rn. 30. 182 Vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 27. Vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 22. 183 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 64; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 27. 184 A.A. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 28; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 47. 185 Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 28, der auch das Erfassen vom Begriff der Verwendung ausnimmt. 186 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 48; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 29; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 28; a.A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 65ff. 187 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 48. 188 Siehe zum Löschen durch Anonymisierung die Ausführungen unter Rn. 99ff. Allerdings ist nicht jede Anonymisierung als Löschung zu qualifizieren. Eine Veränderung liegt nach hier vertretener Ansicht i.d.R. nicht vor, siehe Rn. 78. 189 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 29; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Rn. 25. 190 Vgl. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 31; BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218, 1221; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 49. 191 Nach h.M. liegt bei der Kommunikation personenbezogener Daten von Unternehmen an ihre unselbstständigen Filialen etc. in einem Drittland aber wohl eine „Übermittlung an ein Drittland“ i.S.d. Art. 44ff. DSGVO vor (Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 44 Rn. 11 m.w.N.; a.A. zum BDSG a.F. Voigt, ZD 2014, 15, 19f.). Soweit man solche Stellen nicht als Empfänger qualifiziert (siehe Rn. 272), müsste dies mit dem Schutzzweck der Art. 44ff. DSGVO begründet werden. Nicht abschließend geklärt ist insbesondere, ob (auch dann) eine „Übermittlung an ein Drittland“ i.S.d. Art. 44ff. DSGVO vorliegt, wenn die (anschließende) Verarbeitung durch die unselbstständige Filiale etc. im Drittland gem. Art. 3 DSGVO der DSGVO unterliegt. 192 A.A. z.B. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 29. Auch nach hier vertretener Ansicht sind sie allerdings als Empfänger zu qualifizieren, wenn sie die Daten für eigene Zwecke verarbeiten (siehe unten Rn. 272). 193 BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218, 1221. 194 A.A. nur beispielhafte Aufzählung: Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 18. 195 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 26; BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058. 196 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 50 m.w.N. 197 So auch Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 70; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 31. 198 EuGH, Urt. v. 6.11.2003 – Rs. C-101/01, ECLI:EU:C:2003:596 – Lindqvist. 199 EuGH, Urt. v. 6.11.2003 – Rs. C-101/01, ECLI:EU:C:2003:596 Rn. 56ff., insbesondere Rn. 71 – Lindqvist. 200 Siehe ausführlich hierzu: Moos, in: Moos/Arning/Schefzig, Daten als Geschäftsmodell, K&R Beihefter 3/2015, 12. 201 Vgl. z.B. Sander/Schumacher/Kühne, ZD 2017, 105, 109; Moos, in: Moos/Arning/Schefzig, Daten als Geschäftsmodell, K&R Beihefter 3/2015, 13. 202 Vgl. z.B. Sander/Schumacher/Kühne, ZD 2017, 105, 109; Moos, in: Moos/Arning/Schefzig, Daten als Geschäftsmodell, K&R Beihefter 3/2015, 13. 203 Moos, in: Moos/Arning/Schefzig, Daten als Geschäftsmodell, K&R Beihefter 3/2015, 14 m.w.N. 204 Vgl. hierzu auch Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 71. 205 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 26; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 32. 206 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 33; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69. 207 So auch Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 70; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 31. 208 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 50 m.w.N. 209 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 31; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 52; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 27; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 72. 210 Siehe z.B. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 32; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 52; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 34. 211 Siehe ausführlich zur Zusammenführung von Datenbeständen bei verhaltensbezogener Online-Werbung: Arning/Moos, ZD 2014, 242. 212 So wohl auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 32. 213 Siehe z.B. Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 4 Rn. 47; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. 214 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 36 i.V.m. Art. 17 Rn. 37; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 30, der allerdings – im Gegensatz zur hier vertretenen Ansicht – eine irreversible Löschung verlangt; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410 m.w.N. 215 Siehe z.B. Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 4 Rn. 47; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 17 Rn. 37ff.; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410 m.w.N.; ausführlich zur Löschung durch Anonymisierung: Stürmer, ZD 2020, 626, 628f.; Hornung/Wagner, ZD 2020, 223, 226; a.A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 75, nach dem beim Löschen – im Unterschied zur Vernichtung – der Datenträger körperlich erhalten und funktionsfähig bleiben muss. Dies würde aber nach hier vertretener Ansicht die Möglichkeiten des Verantwortlichen zur Löschung personenbezogener Daten gem. Art. 17 DSGVO unzulässig beschränken, da er dann verpflichtet wäre, bei jeder Löschung von Daten, den Datenträger zu erhalten. Dies entspricht aber nicht dem Sinn und Zweck des Art. 17 DSGVO (siehe auch Rn. 105), a.A. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 32, nach dem eine Löschung nicht durch Anonymisierung erreicht werden kann. 216 Wójtowicz/Cebulla, PinG 2017, 186, 189, mit Verweis auf EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 46 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845. 217 Siehe hierzu schon Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410: In einigen Äußerungen scheint der Europäische Datenschutzausschuss das Erfordernis einer nichtreversiblen Anonymisierung anzunehmen: Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte (Version 2.0), S. 26 („irreversible Verpixelung des Bildes“, „keine Möglichkeit besteht, die in dem Bild enthaltenen personenbezogenen Daten nachträglich wiederherzustellen/wiederzuerlangen“); Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0), S. 25 („the controller shall make sure that it is not possible to re-identify anonymized data“). Andererseits verweist er bei Ausführungen zur Anonymisierung auf die Stellungnahme 5/2014 der Art.-29-Datenschutzgruppe zu Anonymisierungstechniken, in der diese nach hiesigem Verständnis auch die faktische Anonymisierung als hinreichend ansieht, an die einzelnen Anforderungen aber grundsätzlich strenge Anforderungen stellt, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0), S. 13 i.V.m. Art.-29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken WP 216, S. 5ff. Ganz generell sollte der Wortlaut der Äußerungen des EDSA und der Art.-29-Datenschutzgruppe in diesem Zusammenhang nach hiesiger Auffassung „nicht auf die Goldwaage“ gelegt werden, da diese nicht immer eindeutig zwischen nichtreversibler und faktischer Anonymisierung unterscheiden, siehe ausführlich hierzu: Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. 218 Siehe ausführlich hierzu z.B. Stürmer, ZD 2020, 626, 627ff. So wohl auch Datenschutzbehörde, DSB-D123.270/0009-DSB/2018 vom 5.12.2018, https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00.pdf; so wohl zumindest unter gewissen Voraussetzungen auch Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 4, 8f., der zwar in den speziellen Ausführungen zur Löschung nach Art. 17 DSGVO nur Erwägungsgrund 26 S. 5 erwähnt, aus dem ggf. geschlussfolgert werden kann, dass eine nichtreversible Anonymisierung erforderlich ist, doch müssen auch diese speziellen Ausführungen bzgl. der Löschung durch Anonymisierung nach hiesigem Verständnis vor dem Hintergrund der schwerpunktmäßigen Erörterungen der Anonymisierung betrachtet werden, in denen der BfDI i.d.R. eine faktische Anonymisierung für ausreichend erachtet, siehe Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. Eine vollständige Anonymisierung verlangend z.B. Hunzinger, Das Löschen im Datenschutzrecht, S. 101f.; siehe hierzu auch Hornung/Wagner, ZD 2020, 223, 224 m.w.N.; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 32. 219 Siehe auch schon Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. So auch Stürmer, ZD 2020, 626, 630; Datenschutzbehörde, DSB-D123.270/0009-DSB/2018 vom 5.12.2018, https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00.pdf; unklar: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 4; Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0), S. 13; Art.-29-Datenschutzgruppe, WP 216, S. 4, 29f. 220 Stürmer, ZD 2020, 626, 630, nach der bei der Bewertung, ob Daten faktisch anonym sind, – durchaus überzeugend – aufgrund des in Erwägungsgrund 26 S. 3 und 4 statuierten Wahrscheinlichkeitsmaßstabs (nur) absehbare technologische Entwicklungen zu berücksichtigen sind. 221 Stürmer, ZD 2020, 626, 630; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. 222 Stürmer, ZD 2020, 626, 627ff., die dies nach teleologischer Reduktion von Art. 9 Abs. 1 DSGVO auch für besondere Kategorien personenbezogener Daten annimmt; siehe auch Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 8f., nach dem die Anonymisierung nur dann auf Art. 6 Abs. 1 lit. c i.V.m. Art. 17 DSGVO gestützt werden kann, wenn die Daten rechtmäßig erhoben wurden; eher ablehnend, dass die Anonymisierung im fraglichen Fall auf die genannten Normen gestützt werden kann, sondern wohl Art. 6 Abs. 1 lit. f DSGVO insoweit als Rechtsgrundlage ansehend: Hornung/Wagner, ZD 2020, 223, 225f., die aber in diesem Zusammenhang auch eine teleologische Reduktion von Art. 9 Abs. 1 DSGVO befürworten (Hornung/Wagner, ZD 2020, 223, 228). 223 Siehe z.B. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 34. 224 So z.B. Reimer, in: Sydow, Europäische Datenschutz-Grundverordnung, Art. 4 Rn. 75; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 34; nicht eindeutig: Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 53ff. 225 In der DSRl wurde der Begriff des Sperrens in Art. 2 lit. b DSRl im Rahmen der Definition der Verarbeitung als eine Form der Verarbeitung erwähnt. 226 Rat der Europäischen Union, 2012/0011 (COD), 9565/15, S. 77. 227 Vorschlag der Europäischen Kommission, 2012/0011 (COD), KOM(2012) 11 endgültig, S. 59f. 228 Außerdem wird der Begriff noch in ErwG 156 erwähnt, der Art. 89 DSGVO (Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken) konkretisiert. Nach ErwG 156 sollen Mitgliedstaaten zu den genannten Zwecken Ausnahmen vom Recht auf Einschränkung der Verarbeitung vorsehen können. 229 Art. 4 Nr. 3 DSGVO lautet in der englischsprachigen Fassung: „restriction of processing“ means the marking of stored personal data with the aim of limiting their processing in the future. In der französischsprachigen Fassung ist die Tautologie hingegen ebenfalls enthalten: „limitation du traitement“, le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur. 230 Vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 3 Rn. 7. 231 Siehe Änderungsantrag 98 des EU-Parlaments, Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)). 232 Der in Art. 15 DSRl verwendete Begriff der „automatisierten Einzelentscheidung“ entspricht im Wesentlichen dem Begriff der automatisierten Entscheidung im Einzelfall gem. Art. 22 DSGVO. 233 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01). 234 Es ist allerdings unklar, ob sich ErwG 60 nur auf automatisierte Einzelfallentscheidungen einschließlich Profiling i.S.d. Art. 22 Abs. 1 DSGVO bezieht oder auf Profiling i.S.d. Art. 4 Nr. 4 DSGVO. Für die zuerst genannte Auslegung spricht die Systematik der DSGVO, indem ErwG 60 Art. 13 und 14 DSGVO konkretisiert und diese ausdrücklich nur eine Information der betroffenen Person im Fall von automatisierten Einzelfallentscheidungen einschließlich Profiling vorsehen. Für die zuletzt genannte Auslegung spricht hingegen der Wortlaut von ErwG 60, der eine solche Beschränkung nicht enthält. 235 Art. 13 und Art. 14 DSGVO enthalten Informationspflichten bei der Erhebung personenbezogener Daten. 236 Art. 15 DSGVO – Auskunftsrecht der betroffenen Person. 237 Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling. 238 Art. 35 DSGVO – Datenschutz-Folgenabschätzung. 239 Art. 47 DSGVO – Verbindliche interne Datenschutzvorschriften. 240 Art. 70 DSGVO – Aufgaben des Ausschusses. 241 Siehe z.B. auch Eschholz, DuD 2017, 180, 184. 242 Taeger, RDV 2017, 3, 3f.; Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 8f.; Schulz, in: Gola, DS-GVO, Art. 22 Rn. 20; a.A. wohl Ehrig/Glatzner, PinG 2016, 211, 212. 243 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 13ff. 244 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7f. 245 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 3. 246 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 247 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 248 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. Siehe z.B. auch Härting, ITRB 2016, 9. 249 Vgl. auch Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 250 Buchner, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 4 Rn. 8. 251 Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 93; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 29; Hullen, PinG 2015, 210, 210; zum etymologischen Aspekt des Pseudonyms Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 71 m.w.N. 252 Vgl. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 94. 253 Z.B. im Hinblick auf verwendete Positionsdaten siehe Johannes, ZD-Aktuell 2016, 05321. 254 Hierzu z.B. Marnau, DuD 2016, 428, 429ff. 255 Insbesondere im Hinblick auf die Public-Key-Infrastruktur siehe Weichert, SVR 2016, 361, 364. 256 Hierzu z.B. Spindler, MedR 2016, 691, 695f. 257 Hierzu z.B. Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6. 258 Hierzu z.B. Martini/Weinzierl, NVwZ 2017, 1251, 1256ff.; Bechtolf/Vogt, in: Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, S. 873, 879f. 259 Insbesondere Art.-29-Datenschutzgruppe, WP 136, und Art.-29-Datenschutzgruppe, WP 216. Ebenfalls lesenswert in diesem Zusammenhang Schwartmann/Weiß, Whitepaper zur Pseudonymisierung. 260 So auch Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 30; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 3; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 20; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 97f.; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 13f., 27; Hofmann/Johannes, ZD 2017, 221, 223; wohl auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 12; a.A. aber Karg, DuD 2015, 520, 524. Wichtig ist aber, dass einige gängige Pseudonymisierungsverfahren Schwächen aufweisen und dementsprechend auch nach erfolgter Pseudonymisierung der Daten Identifizierungen möglich bleiben könnten, dazu Art.-29-Datenschutzgruppe, WP 216, 26ff. Zu den Besonderheiten der Informationspflichten nach Art. 13 und 14 DSGVO bei der Offenlegung pseudonymisierter Daten an Dritte Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 24. 261 Vgl. Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 32; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6. 262 Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 166; Knopp, DuD 2015, 527, 527. 263 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 303. 264 „Utility trotz Privacy“, Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 19. 265 Vgl. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 102 m.w.N. 266 Roßnagel/Scholz, MMR 2000, 721, 727; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 103. 267 Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 103; Art.-29-Datenschutzgruppe, WP 216, 26 empfiehlt generell, nie dasselbe Pseudonym in unterschiedlichen Datenbanken zu verwenden. 268 Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 13; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 154; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 16; Eckhardt/Kramer, DuD 2013, 287, 288; noch zum BDSG a.F. Scholz, in: Simitis, BDSG, § 3 Rn. 219d; Härting, NJW 2013, 2065, 2067; kritisch aber Karg, DuD 2015, 520, 524. 269 Piltz, K&R 2016, 557, 562, allgemein Art. 22 DSGVO und insbesondere Art. 32 und 35 DSGVO. 270 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 306. 271 Die deutschen Aufsichtsbehörden gehen von einer Unanwendbarkeit der §§ 13ff. TMG ab Geltung der DSGVO aus (Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz), Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018, S. 2). 272 So auch Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 8; a.A. aber Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 105; schon zur alten Rechtslage Caspar, ZRP 2015, 233, 234; Karg, ZD 2013, 245, 247f.; „in vielen Fällen“ Schantz, NJW 2016, 1841, 1841f. 273 Vgl. Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6. 274 In Deutschland z.B. § 27 Abs. 3 Satz 2 und 3 BDSG, § 40 AMG, § 2 Abs. 5 BremKHDSG, § 52 Abs. 3 MsbG, § 299 Abs. 1 Satz 4 Nr. 1 SGB V, § 5 Abs. 3 SigG und § 13 Abs. 6 Satz 1 TMG. 275 „Letzteres führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung pseudonymisierter bzw. verschlüsselter Daten, was für datenschutzgerechte Big-Data-Anwendungen von Bedeutung ist“, Die Bundesbeauftragte für Datenschutz und Informationsfreiheit, BfDI-Info 6 Datenschutz-Grundverordnung, S. 11. 276 Siehe auch ErwG 78 Satz 3 DSGVO. 277 Hierbei wird auch die Verschlüsselung als mögliche Maßnahme genannt. 278 Dazu ausführlich Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 17, 24f. 279 EuGH, 16.7.2020 – C-311/18, ZD 2020, 511 – Schrems II m. Anm. Moos/Rothkegel. 280 EDSA, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, v. 10.11.2020, Rn. 80. 281 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 32; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 73. 282 So auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 41. 283 Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 41; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 11. 284 Vgl. Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 16f.; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 72; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 28; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 166f. 285 Vgl. Art.-29-Datenschutzgruppe, WP 216, 27. 286 Ernst, in: Paal/Pauly, DSGVO/BDSG, Art. 4 Rn. 43; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 6; vgl. auch Die Datenschutzbeauftragten des Bundes und der Länder, Arbeitspapier Datenschutzfreundliche Technologien, 4.2. 287 Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 10; Piltz, K&R 2016, 557, 562. 288 Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 10. 289 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 43. 290 Anwendungsbeispiele entsprechend abgesicherter Datentrennungen finden sich bei Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 28ff. 291 Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 30; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 170. 292 Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 30. 293 Vgl. Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 41; vgl. auch entsprechendes Vertragsmuster Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, Kap. 12 Rn. 40ff. 294 Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 DSGVO, Rn. 45; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 7. 295 Piltz, K&R 2016, 557, 562. 296 Vgl. die Ausführungen bei Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 44, 47; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 7, 9f. 297 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 44; eine Liste von berücksichtigenswerten Risiko-Faktoren (z.B. wer das Pseudonym erstellt, die gewählte Methodik, die technisch-organisatorischen Maßnahmen etc.) findet sich bei Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 169. 298 Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 47. 299 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 77; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 100. 300 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 300f. 301 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 74ff.; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 8; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 42; Roßnagel/Scholz, MMR 2000, 721, 725. 302 „Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen, die jedoch eine allgemeine Analyse zulassen, bei demselben Verantwortlichen möglich sein, wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen hat, um – für die jeweilige Verarbeitung – die Umsetzung dieser Verordnung zu gewährleisten, wobei sicherzustellen ist, dass zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden.“ 303 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 3; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 303; Härting, DSGVO, Rn. 303f., interpretiert diesen ErwG hingegen so, dass die Trennung eine Auswertung unter erleichterten Voraussetzungen bewirkt. Ein Beispiel einer Pseudonymisierung für die Nutzung eines Unterhaltungsprodukts per Set-Up-Box siehe Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 28ff. 304 So auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 8. 305 Auch „Trusted Third Party (TTP)“ genannt; vgl. auch entsprechendes Vertragsmuster Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, Kap. 12 Rn. 40ff. 306 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 75; Roßnagel/Scholz, MMR 2000, 721, 725. 307 Siehe dazu Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 40ff. 308 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 75; Roßnagel/Scholz, MMR 2000, 721, 725. 309 Vgl. Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 10; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 42. Ein ausführliches Anwendungsbeispiel für den Bereich der medizinischen Forschung mit Patientendaten findet sich bei: Ein Beispiel einer Pseudonymisierung für die Nutzung eines Unterhaltungsprodukts per Set-Up-Box, siehe Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 40ff. 310 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 74; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 8; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 42; Roßnagel/Scholz, MMR 2000, 721, 725. 311 Knapper Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 305: „Eine Pseudonymisierung erfolgt durch den Verantwortlichen“. 312 EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 38 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 842, 847. 313 Siehe Art.-29-Datenschutzgruppe, WP 216, 24ff.; allgemein zur Pseudonymisierung Art.-29-Datenschutzgruppe, WP 136, 21ff. 314 Die Datenschutzbeauftragten des Bundes und der Länder, Arbeitspapier Datenschutzfreundliche Technologien; ebenfalls hilfreich Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 17ff.; für den technischen Hintergrund siehe Bundesamt für Sicherheit in der Informationstechnik, Kryptographische Verfahren: Empfehlungen und Schlüssellänge; zum Einsatz im Unternehmen siehe Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 18ff.; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 166. 315 Art.-29-Datenschutzgruppe, WP 136, 21; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 7. Zu häufigen Fehlern bei und Schwachstellen der Pseudonymisierung siehe Art.-29-Datenschutzgruppe, WP 216, 26ff. 316 Die Datenschutzbeauftragten des Bundes und der Länder, Arbeitspapier Datenschutzfreundliche Technologien, 4.2; siehe das visuelle Beispiel bei Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 167. 317 Die Datenschutzbeauftragten des Bundes und der Länder, Arbeitspapier Datenschutzfreundliche Technologien, 4.2. 318 Ausführlich zu Verschlüsselungen Kroschwald, ZD 2014, 75; Stiemerling/Hartung, CR 2012, 60; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 17ff. 319 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 80; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 31. 320 Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 179; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6f., welche die Pseudonymisierungswirkung der symmetrischen Verschlüsselung als kritisch betrachten. 321 Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 33; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 179; vgl. Art.-29-Datenschutzgruppe, WP 136, 21; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 9. 322 Art.-29-Datenschutzgruppe, WP 136, 21ff.; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 32; Kroschwald, ZD 2014, 74, 78. 323 Dazu Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 187. 324 Art.-29-Datenschutzgruppe, WP 216, 24f.; vgl. Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 183. 325 Art.-29-Datenschutzgruppe, WP 216, 24f. 326 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 1. 327 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 52. 328 Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 5f. 329 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 310. 330 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 17. 331 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 3. 332 Gola, in: Gola, DS-GVO, Art. 4 Rn. 43. 333 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 83; für das Genügen einer Ordnung nach nur einem Merkmal Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 6 Rn. 8. 334 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 3; Gola, in: Gola, DS-GVO, Art. 4 Rn. 44. 335 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 85; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 5; Gola, in: Gola, DS-GVO, Art. 4 Rn. 47; a.A. wohl Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 53; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 25. 336 Gola, in: Gola, DS-GVO, Art. 4 Rn. 44; zur alten Rechtslage Dammann, in: Simitis, BDSG, § 3 Rn. 89ff. 337 Schantz, in: Schantz/Wolff, Das neues Datenschutzrecht, Rn. 311. 338 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 84. 339 Gola, in: Gola, DS-GVO, Art. 4 Rn. 44. 340 Vgl. zuletzt auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 62 – Zeugen Jehovas. 341 Im Ansatz ähnlich Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 5; vgl. ferner oben Rn. 34. 342 Vgl. Gola, in: Gola, DS-GVO, Art. 4 Rn. 46; Schreiber, in: Plath, DSGVO BDSG, Art. 4 Rn. 25. 343 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 311. 344 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 18. 345 Düwell/Brink, NZA 2017, 1081, 1085. 346 BT-Drs. 18/11325, S. 97. 347 Wybitul, ZD-Aktuell 2017, 05483. 348 Vgl. für diese und weitere Beispiele: Gola, BB 2017, 1462, 1472. 349 So auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 7 Rn. 2. 350 Insbesondere Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ v. 16.2.2010, WP 169, mittlerweile abgelöst durch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 1.0); EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591 – Facebook-Fanpages; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991 – Zeugen Jehovas. 351 Vgl. Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 121f. 352 Vgl. zu den Vorteilen einer Datenschutzorganisation Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 9ff. 353 Moos/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 7 Rn. 7ff. 354 Vgl. zu den einzelnen Pflichten des Auftragsverarbeiters nach der DS-GVO Moos/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 7 Rn. 20. 355 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 27, 29; Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 28 Rn. 3. 356 Zur Frage, ob sich gemeinsam Verantwortliche als Dritte oder lediglich Empfänger gegenüberstehen, Rn. 233. 357 Vgl. nachfolgend Rn. 186ff.; so auch implizit Art.-29-Datenschutzgruppe, WP 244 rev.01, 8; diesen Zusammenhang auch herausstellend Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 133, 134. 358 Ausführlich zu den möglichen Adressaten Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 127–134. 359 Lachenmann, in: FS Taeger, S. 277; näher zur Zuweisung der Verantwortlichkeit bei Nutzung (starker) intelligenter Systeme und der Konzeption einer e-Person als juristischen Person Kremer, in: FS Taeger, S. 255ff. 360 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 10. 361 Vgl. so zu § 3 BDSG Gola/Schomerus, BDSG, § 3 Rn. 48; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 359. 362 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 27. 363 Ausführlich hierzu nachfolgend unter Rn. 182ff.; in diese Richtung auch Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 89. 364 In diese Richtung auch Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 133, 134. 365 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 7 Rn. 11 m.w.N. 366 So auch Kort, NZA 2015, 1345, 1347; Gola, in: Gola, DS-GVO, Art. 4 Rn. 55; in diese Richtung tendierend LfDI Baden-Württemberg, Tätigkeitsbericht 2018, 37; ausdrücklich offengelassen in BAG, NZA 2019, 1218, 1223, und NZA 2019, 1055, 1060. 367 Vgl. BAG, Beschl. v. 11.11.1997 – 1 ABR 21/97 –, BAGE 87, 64 = NZA 1998, 385, 386. 368 Zur Schwierigkeit, anhand dieser Kriterien eine Verantwortlichkeit im Rahmen dezentralisierter Strukturen (bspw. Blockchain-Systeme) und anderer komplexer Verarbeitungsszenarien zu bestimmen, Janicki, in: FS Taeger, S. 204ff. 369 Die Entscheidungsbefugnis als entscheidendes Kriterium deklarierend Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 14. 370 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 14. 371 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 20ff. 372 Hierzu nachfolgend Rn. 183. 373 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 11. 374 Hierzu nachfolgend Rn. 188ff. 375 Moos/Rothkegel, MMR 2018, 595, 597. 376 So etwa § 79a Satz 2 BetrVG, § 11 Abs. 2 Satz 2 StBerG, § 307 SGB V; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 11f. 377 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 12f.; in diese Richtung auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70 – Zeugen Jehovas. 378 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 13; in diese Richtung auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 71 – Zeugen Jehovas. 379 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32 – Facebook-Fanpages; vgl. auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70, 71 – Zeugen Jehovas. 380 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32, 34, 37 – Facebook-Fanpages; vgl. auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70, 71 – Zeugen Jehovas. 381 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70–72 – Zeugen Jehovas; vgl. ferner Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 10. 382 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 13. 383 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 38 – Facebook-Fanpages; bestätigt in EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 69 – Zeugen Jehovas; hierzu auch Moos/Rothkegel, MMR 2018, 595, 598; Marosi/Matthé, ZD 2018, 357, 362. 384 Vgl. Abgrenzung zur möglichen Entscheidungsbefugnis durch Auftragsverarbeiter Rn. 210. 385 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 14. 386 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 15f. 387 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 15f. 388 Vgl. Rothkegel/Strassemeyer, CRi 2019, 161, 166. 389 Ausführlich hierzu nachfolgend Rn. 253; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 16f. 390 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 43 – Facebook-Fanpages; EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 71ff. – Fashion ID; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 17. 391 Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 26 Rn. 5f. 392 Vgl. nachfolgend Rn. 196. 393 Vgl. nachfolgend unten Rn. 197ff. 394 Vgl. nachfolgend Rn. 207; in diese Richtung auch EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32 – Facebook-Fanpages. 395 Lachenmann, in: FS Taeger, S. 278. 396 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591 – Facebook-Fanpages; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991 – Zeugen Jehovas; EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579 – Fashion ID. 397 Vgl. Art. 2 lit. d RL 95/46/EG. 398 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 60 – Facebook-Fanpages; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 18f. 399 Zur Frage, ob sich gemeinsam Verantwortliche als Dritte oder lediglich Empfänger gegenüberstehen, Rn. 274. 400 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 19f.; Hartung, in: Kühling/Buchner DS-GVO BDSG, Art. 26 Rn. 13; Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 26 Rn. 15; Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 26 Rn. 19. 401 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 19. 402 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 19f.; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 26 Rn. 16; Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 26 DSGVO Rn. 15. 403 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 21f. 404 Piltz, in: Gola, DS-GVO, Art. 26 Rn. 9. 405 Lachenmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kap. G V. 406 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32ff. – Facebook-Fanpages; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 67ff. – Zeugen Jehovas; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 19–20; vgl. auch Europäischer Datenschutzausschuss, Guidelines 08/2020 on the targeting of social media users (Version 1.0), S. 10ff. 407 Am Beispiel von Datenschnittstellen im Kontext von Insolvenzbekanntmachungen Heyer, in: FS Taeger, S. 192. 408 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 36, 39 – Facebook-Fanpages; EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 85 – Fashion ID; Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 17. 409 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 22f. 410 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 22f. 411 Inwieweit auch komplementäre oder sich gegenseitig bedingende Interessen zu einer gemeinsamen Verantwortlichkeit führen können, ist bislang nicht entschieden; dies hatte Generalanwalt Bobek jedenfalls in seinen Schlussanträgen vertreten, ECLI:EU:C:2018:1039, Rn. 105. 412 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591 – Facebook-Fanpages m. Anm. Moos/Rothkegel. 413 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 36 – Facebook-Fanpages; ebenfalls hierin den Kernpunkt der Argumentation des EuGH sehend Marosi/Matthé, ZD 2018, 357, 361f.; zur Einordnung von Facebook-Fanpage-Betreibern als Diensteanbieter i.S.d. § 2 Satz 1 Nr. 1 TMG Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 1 Rn. 98.1f. 414 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 39 – Facebook-Fanpages. 415 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 36, 39 – Facebook-Fanpages. 416 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 38 – Facebook-Fanpages; bestätigt in EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 69 – Zeugen Jehovas; insofern hinsichtlich des nicht notwendigen Zugriffs zustimmend Moos/Rothkegel, MMR 2018, 595, 598; Marosi/Matthé, ZD 2018, 357, 362. 417 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32 – Facebook-Fanpages. 418 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 34, 37 – Facebook-Fanpages. 419 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 35, 41 – Facebook-Fanpages. 420 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 15ff. – Zeugen Jehovas. 421 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 20 – Zeugen Jehovas. 422 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas. 423 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas. 424 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68 – Zeugen Jehovas. 425 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68 – Zeugen Jehovas. 426 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70 – Zeugen Jehovas. 427 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 16, 59, 70 – Zeugen Jehovas. 428 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 37 – Fashion ID. 429 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 77 – Fashion ID. 430 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 77, 80 – Fashion ID. 431 Zu alledem EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80ff. – Fashion ID. 432 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80, 105 – Fashion ID; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas; EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 34 – Facebook-Fanpages; Europäischer Datenschutzausschuss, Guidelines 07/2020, S. 19f. 433 Europäischer Datenschutzausschuss, Guidelines 09/2020, S. 19f. 434 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas. 435 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 77 – Fashion ID; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 71 – Zeugen Jehovas. 436 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID; EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32ff., 60f. – Facebook-Fanpages. 437 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas; EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 40, 64f. – Facebook-Fanpages. 438 Vgl. etwa EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID. 439 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 71f., 74, 85 – Fashion ID. 440 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 20, 22. 441 So auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 20, 22. 442 Vgl. zur getrennten Verantwortlichkeit Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 48ff. 443 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 22f.; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 26 Rn. 12. 444 Vgl. etwa EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 72f. – Zeugen Jehovas. 445 EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 60 – Facebook-Fanpages. 446 Vgl. Europäischer Datenschutzausschuss, Guidelines 08/2020 on the targeting of social media users (Version 1.0), S. 11, 19ff. 447 Europäischer Datenschutzausschuss, Guidelines 08/2020 on the targeting of social media users (Version 1.0), S. 19ff. 448 EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID. 449 Moos/Rothkegel, MMR 2018, 595, 596; in diesem Zusammenhang auf die denkbare Unmöglichkeit einer Erfüllung datenschutzrechtlicher Pflichten hinweisend und sich in der Folge für eine zurückhaltende Annahme gemeinsamer Verantwortlichkeit aussprechen Janicki, in: FS Taeger, S. 213f. 450 Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 45; Moos/Rothkegel, MMR 2018, 595, 596 m.w.N. 451 Hierzu auch ausführlich Moos/Rothkegel, in: Moos, Datenschutz und Datennutzung, Kap. 5 S. 62ff. 452 Vgl. EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 43 – Facebook-Fanpages; EuGH, Urt. v. 10.7.2018 – C-25/17, Rn. 66 – Zeugen Jehovas; ausführliche Kritik Moos/Rothkegel, MMR 2018, 595, 596f.; ebenfalls kritisch hinsichtlich der Formulierung des EuGH Marosi/Matthé, ZD 2018, 357, 363. 453 EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 65 – Zeugen Jehovas. 454 Vgl. insoweit auch Art.-29-Datenschutzgruppe, WP 171, 14. 455 Moos/Rothkegel, MMR 2018, 595, 597. 456 Vgl. oben Rn. 170. 457 Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 50. 458 Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 13ff. 459 Schefzig, in: Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, S. 43, 47f. 460 EuGH, Urt. v. 13.5.2014 – C-131/12, K&R 2014, 502 = GRUR 2014, 895, 898 – Google Spain; EuGH, Urt. v. 1.10.2015 – C-230/14, ZD 2015, 580, 582 – Weltimmo. 461 Vgl. ErwG 36 Satz 8 zur DSGVO; Art.-29-Datenschutzgruppe, WP 244 rev.01, 5; EuGH, Urt. v. 13.5.2014 – C-131/12, K&R 2014, 502 = GRUR 2014, 895, 898 – Google Spain; so auch Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 66ff. 462 Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 66. 463 Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 66. 464 So auch implizit Art.-29-Datenschutzgruppe, WP 244 rev.01, 8; in diese Richtung auch Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 133, 134; vgl. ferner Rn. 318ff. 465 Vgl. Art.-29-Datenschutzgruppe, WP 244 rev.01, 6, 7; vgl. ferner nachfolgend Rn. 327–328. 466 Der Verarbeitungsort ist kein ausschlaggebendes Kriterium zur Bestimmung der Hauptniederlassung und damit der Verantwortlichkeit, Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 69. 467 Vgl. zur graduellen Abstufung datenschutzrechtlicher Verantwortlichkeit oben Rn. 195ff. 468 Vgl. oben Rn. 183. 469 Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 470 Vgl. etwa Gola, in: Gola, DS-GVO, Art. 4 Rn. 83. 471 So auch Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 50; in diese Richtung auch Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 89. 472 Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 18. 473 Schefzig, in: Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, S. 43, 46f. 474 Vgl. Ehmann/Kranig, ZD 2018, 199, 201f. 475 Zu alledem Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 178f. 476 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 8. 477 Vgl. Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, Art. 4 Rn. 13. 478 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28f.; Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 28 Rn. 3; vgl. Kramer, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 8 Rn. 11. 479 Ausführlich zum Streitstand Art. 28 Rn. 8–11. 480 Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, § 7 B. III. 1. Rn. 31. 481 Ausführlich hierzu Art. 28 Rn. 34ff. 482 Siehe nachfolgend Rn. 202ff. 483 Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 28 Rn. 38ff. 484 Vgl. Eckhardt, CCZ 2017, 111, 116. 485 Ausführlich zu den Pflichten des Auftragsverarbeiters Art. 28 Rn. 77–78. 486 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 17; Dovas, ZD 2016, 512, 516; Härting, ITRB 2016, 137, 137f.; Hofmann, ZD-Aktuell 2017, 05488; Müthlein, RDV 2016, 74, 84f. 487 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 25f. 488 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 25f. 489 Vgl. zur Einordnung von freien Mitarbeitern Bergt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kap. C VII. 5; vgl. insoweit auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 490 Vgl. zur Einordnung von freien Mitarbeitern Bergt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kap. C VII. 5. 491 So aber wohl Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 28 Rn. 8; Plath, in: Plath, BDSG DSGVO, Art. 28 Rn. 2, Art. 29 Rn. 5; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 32; Wybitul/Schultze-Melling/Sörup, in: Wybitul, EU-Datenschutz-Grundverordnung im Unternehmen, 2016, S. 128, die die Auftragsverarbeitung auf technische Unterstützungsleistungen begrenzen wollen. 492 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26–27. 493 Hierzu vgl. oben unter Rn. 188ff. 494 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 1.0), S. 26–27. 495 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26 i.V.m. 14f. 496 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 14f. 497 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 15. 498 So auch Voigt/v. dem Bussche, DSGVO: Praktikerhandbuch, S. 23, wonach entscheidend ist, wer die Verarbeitung initiiert hat. 499 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 15. 500 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 15. 501 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28, 16. 502 Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 16. 503 Vgl. Wortlaut des Art. 29 DSGVO „Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person [...] dürfen diese Daten ausschließlich auf Weisungen des Verantwortlichen verarbeiten [...].“. 504 So auch Klug, in: Gola, DS-GVO, Art. 28 Rn. 5. 505 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 41. 506 Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 28 Rn. 7. 507 Vgl. oben Rn. 215ff. 508 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 28 Rn. 54. 509 Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, § 7 B. III. 1. Rn. 25. 510 Vgl. zur alten Rechtslage etwa Petri, in: Simitis, BDSG, § 11 Rn. 100. 511 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 28 Rn. 53. 512 Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, § 7 B. III. 1. Rn. 25; im Ergebnis auch Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 21, 37; Lissner, Auftragsdatenverarbeitung nach der DSGVO, in: Taeger, Smart World – Smart Law? Weltweite Netze mit regionaler Regulierung, S. 401, 414f., die ein Schutzdefizit des Betroffenen ausschließt, weil bei unbefugtem Zugriff der Dienstleister selbst als Verantwortlicher einzustufen wäre; a.A. Schmidt/Freund, ZD 2017, 14, 16f., die darauf abstellen, dass auch Wartungen nach Art. 4 Nr. 2 DSGVO „im Zusammenhang mit personenbezogenen Daten“ stattfinden und mithin erlaubnispflichtig sind; BayLDA, Kurzpapier 13 zur DS-GVO, Auftragsverarbeitung nach der DS-GVO, https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf. 513 In diese Richtung auch Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII Kap. 2 Rn. 139, der Ausführungsformen für Wartung, Pflege und Services sieht, die Merkmale für Auftragsverarbeitung erfüllen, also Verarbeitungen im Auftrag eines Verantwortlichen erfolgen, insbesondere Tests mit Echtdaten. 514 Vgl. EuGH, Urt. v. 19.10.2016 – C-582/14, K&R 2016, 811 = MMR 2016, 842 Rn. 46 m. Anm. Moos/Rothkegel; vgl. hierzu ausführlich oben Rn. 34ff. 515 Vgl. Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 2. 516 Auch unter dem BDSG-alt sprachen jedoch die besseren Gründe dafür, dass § 3 Abs. 8 Satz 3 BDSG a.F. richtlinienkonform dahingehend auszulegen war, dass die privilegierte Handhabung der Auftragsdatenverarbeitung auch auf im Drittland ansässige Auftragnehmer angewendet werden muss (vgl. etwa Weber/Voigt, ZD 2011, 74, 77; Plath, in: Plath, BDSG DSGVO, § 11 Rn. 14 m.w.N.). 517 Plath, in: Plath, BDSG DSGVO, Art. 3 Rn. 6. 518 Eckhardt, CCZ 2017, 111, 116. 519 Siehe zur Gesetzgebungshistorie z.B. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 1. 520 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 521 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 522 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 29; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 68. 523 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69. 524 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69; vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 32. 525 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 33; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69. 526 Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 6 i.V.m. Art. 4 Nr. 7 Rn. 9; vgl. im Hinblick auf den Verantwortlichen gem. Art. 4 Nr. 7 DSGVO auch: Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 10. 527 Vgl. im Hinblick auf die Definition der verantwortlichen Stelle gem. Art. 2 lit. d DSRl: Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 19ff., wobei zu beachten ist, dass diese Stellungnahme durch neue Leitlinien des EDSA ersetzt wurde, Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 7f. 528 Vgl. z.B. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 529 Auch die Erläuterungen des EDSA zum Begriff des „Empfängers“ enthalten nach hier vertretener Lesart keine Stellungnahme zu dieser Frage. Insbesondere ist nach hier vertretener Ansicht die Aussage „The definition covers anyone who receives personal data [...]“ aufgrund der weiteren Ausführungen im dortigen Zusammenhang nicht dahingehend zu verstehen, dass sie zum Ausdruck bringen soll, dass auch Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen Empfänger sein sollen. So beziehen sich z.B. sämtliche dort genannten Beispiele auf externe Empfänger, Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 530 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 57; Regenhardt, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 156; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 3. 531 Art. 13 Abs. 1 lit. e, Art. 14 Abs. 1 lit. e, Art. 15 Abs. 1 lit. c DSGVO lassen insoweit zumindest auch die Nennung von Gruppen von Empfängern zu. 532 Siehe z.B. Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 492 m.w.N. 533 So im Ergebnis z.B. auch Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 29; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 57; Gola, in: Gola, DS-GVO, Art. 4 Rn. 80; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 6; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Nr. 9 Rn. 102, der allerdings alle als Empfänger begreift, die nicht Dritte sind. Dies ist nach hier vertretener Ansicht aber nicht mit Art. 4 Nr. 9 DSGVO vereinbar, da die Eigenschaft des Empfängers gerade „unabhängig“ davon sein soll, ob es sich bei dieser Person bzw. Stelle auch um einen Dritten handelt oder nicht. Somit geht auch Art. 4 Nr. 9 DSGVO davon aus, dass eine Person bzw. Stelle zugleich ein Empfänger nach Art. 4 Nr. 9 DSGVO und ein Dritter gem. Art. 4 Nr. 10 DSGVO sein kann. 534 BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218, 1221. 535 Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 536 Vgl. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 537 Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 7; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 7. 538 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 7 m.w.N.; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 7. 539 Siehe zur Gesetzgebungshistorie z.B. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 10 Rn. 2; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 3. 540 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 541 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 542 Allerdings können im Fall eines Datentransfers in ein Drittland die Art. 44ff. DSGVO zu beachten sein. 543 Vgl. schon zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 234f.; vgl. auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 8. Der EDSA und die überwiegende Mehrheit der Autoren thematisieren den „Ausschluss“ von Personen, die dem Verantwortlichen/Auftragsverarbeiter zuzurechnen sind, unter dem Gesichtspunkt, inwieweit es sich bei ihnen um Personen handelt, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, und deshalb nicht als Dritte zu betrachten sind, siehe z.B. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 29; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 60; Gola, in: Gola, DS-GVO, Art. 4 Rn. 82; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 162; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 10 Rn. 4. Nach hier vertretener Ansicht sind Personen, die dem Verantwortlichen/Auftragsverarbeiter zuzurechnen sind, aber auch als Teil des Verantwortlichen/Auftragsverarbeiters anzusehen und schon aus diesem Grund keine Dritten, siehe zu den Unterschieden auch Rn. 288ff. 544 Siehe zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 234ff.; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Nr. 10 Rn. 119ff.; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 6. 545 Vgl. z.B. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 29, im Rahmen seiner Erörterungen des Gesichtspunkts, inwieweit Mitarbeiter Personen sind, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, und deshalb nicht als Dritte zu betrachten sind. 546 Vgl. zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 234; Gola, in: Gola, DS-GVO, Art. 4 Rn. 82. 547 Vgl. z.B. Gola, in: Gola, DS-GVO, Art. 4 Rn. 83. 548 Siehe für die unterschiedlichen Ansichten hierzu Rn. 85, ebenso im Hinblick auf die Qualifikation als „Übermittlung“ i.S.d. Art. 4 Nr. 2 DSGVO. Nicht abschließend geklärt ist insbesondere, ob (auch dann) eine „Übermittlung an ein Drittland“ vorliegt, wenn die (anschließende) Verarbeitung durch die unselbstständige Zweigstelle etc. im Drittland gem. Art. 3 DSGVO der DSGVO unterliegt. Siehe zur Qualifikation von unselbstständigen Filialen etc. als „Empfänger“ Rn. 270ff. 549 Vgl. auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 6. 550 Siehe zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 240; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 121a f. Ausdrücklich offen gelassen z.B. vom BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, 1218, 1221. 551 So zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 239; a.A. im Hinblick auf externe Datenschutzbeauftragte: Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 6; Gola, in: Gola, DS-GVO, Art. 4 Rn. 80. 552 Siehe z.B. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 121. 553 Siehe z.B. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 29. 554 Vgl. z.B. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 162; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 555 Siehe auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 29, der Arbeitnehmern auch Personen gleichstellt, die in einer stark vergleichbaren Rolle agieren, wie z.B. Zeitarbeitskräfte. 556 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. Siehe auch oben Rn. 281. Der EDSA und die überwiegende Mehrheit der Autoren thematisieren den „Ausschluss“ von Personen, die dem Verantwortlichen/Auftragsverarbeiter zuzurechnen sind, hingegen (nur) unter dem Gesichtspunkt, inwieweit sie Personen sind, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, und deshalb nicht als Dritte zu betrachten sind, siehe z.B. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 29; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 60; Gola, in: Gola, DS-GVO, Art. 4 Rn. 82; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 162; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 10 Rn. 4. 557 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. Siehe zur Einbindung beim Auftragsverarbeiter auch ausführlich oben Rn. 246. 558 Art. 9 Abs. 2 lit. a DSGVO erlaubt es der EU bzw. den Mitgliedstaaten allerdings, die Verarbeitung besonderer Kategorien personenbezogener Daten auf Grundlage einer Einwilligung (in bestimmten Bereichen bzw. im Hinblick auf bestimmte Datenverarbeitungen) zu untersagen. 559 Außerdem beschäftigen sich mehrere Erwägungsgründe mit der Einwilligung, insb. ErwG 32, 33, 38, 40, 42, 43, 50, 155 und 171; siehe Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 5. 560 Vorschlag der Europäischen Kommission, 2012/0011 (COD), KOM(2012) 11 endgültig, S. 48; Europäisches Parlament, (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)), A7-0402/2013, S. 76f. 561 Vorschlag der Europäischen Kommission, 2012/0011 (COD), KOM(2012) 11 endgültig, S. 8. 562 Rat der Europäischen Union, 2012/0011 (COD), 9565/15, S. 77. 563 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 39; Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 11 Rn. 4. 564 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 249. 565 Siehe auch Schulz, in: Gola, DS-GVO, Art. 7 Rn. 59; Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 101; Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 305f., Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 39f. Insoweit missverständlich: Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich („Düsseldorfer Kreis“), Beschl. v. 13./14.9.2016, Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung, https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/FortgeltungBisherErteilterEinwilligungen.pdf, zuletzt abgerufen März 2021. 566 Vgl. z.B. Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 48. 567 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 8; siehe z.B. auch OLG Frankfurt/M., Urt. v. 27.6.2019 – 6 U 6/19, ZD 2019, 507. 568 Siehe z.B. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 127. 569 Ingold, in: Sydow, EU-Datenschutzgrundverordnung, Art. 7 Rn. 27; Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 64ff.; zu strikt: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 10f. 570 Ausführlich hierzu mit Beispielen Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 71ff. 571 OLG Frankfurt/M., Urt. v. 27.6.2019 – 6 U 6/19, ZD 2019, 507; Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 42; vgl. auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 15. 572 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 48; der Europäische Datenschutzausschuss verlangt hierfür „beträchtliche nachteilhafte Folgen“, Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 10f. und S. 14, strenger aber wohl im Beschäftigungskontext, S. 10. 573 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 48. 574 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 50; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 9f. mit Beispielen, in denen Behörden die Datenverarbeitung auf die Einwilligung der betroffenen Person stützen können. 575 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 51 mit ausführlichen Beispielen. 576 Vgl. EuGH, Urt. v. 11.11.2020 – C-61/19 –, ZD 2021, 89, 90 Rn. 41 – Orange România/ANSPDCP. 577 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 14. 578 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 14; so auch Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 48; vgl. auch Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 263. 579 Siehe ausführlich mit Beispielen: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 14. 580 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 14. 581 In diese Richtung argumentierend wohl auch Schulz, in: Gola, DSGVO, Art. 6 Rn. 24. 582 So auch Stemmer, in: Wolff/Brink, BeckOK Datenschutzrecht, Art. 7 Rn. 77; Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 62; Moos/Rothkegel, MMR 2019, 736, 738f.; Rauer/Ettig, ZD 2021, 18, 21. Der EuGH geht hierauf in seiner Entscheidung in Sachen Planet49 nicht ein. Zudem ist festzustellen, dass er die (unzutreffenden) Ausführungen des Generalanwalts in seinen Schlussanträgen nicht in seine Entscheidung mit aufgenommen hat, wonach die datenschutzrechtliche Einwilligung nicht mit einer Willensbekundung, wie der Erklärung zur Teilnahme an einem Gewinnspiel, verbunden werden könne (siehe ausführlich: Moos/Rothkegel, MMR 2019, 736, 738). 583 So aber neben dem Europäischen Datenschutzausschuss z.B. auch Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 48. 584 Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.8. 585 Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.35; EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 559 Rn. 65 – Planet49. 586 Einen solchen Button fordernd z.B. Baumgartner/Hansch, ZD 2020, 435, 437; CNIL, Délibération n8 2020-092, v. 17.9.2020, Ziff. 34; Rauer/Ettig, ZD 2021, 18, 22 m.w.N.; differenzierender Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.16ff. Siehe auch Rn. 321. Insoweit ist jedenfalls zu beachten, dass zusätzliche Anforderungen an die Verweigerung der Erteilung einer Einwilligung (nach Auffassung des EuGH) zumindest unter gewissen Umständen zur Unwirksamkeit der Einwilligung führen können, siehe Rn. 317. In das TTDSG wurde eine ausdrückliche Regelung zu der Thematik trotz entsprechender Überlegungen nicht mit aufgenommen, siehe Baumann/Alexiou, ZD 2021, 349, 353 m.w.N. 587 Dies gilt nach hier vertretener Ansicht auch für den Fall, dass dem Nutzer als Alternative zur Erteilung der Einwilligung angeboten wird, den Dienst gegen Zahlung eines Entgelts zu nutzen. Siehe ausführlich zur (Un-)Zulässigkeit der Koppelung der Erbringung von Diensten/des Abschlusses von Verträgen an die Erteilung einer Einwilligung Art. 7 Rn. 94ff. 588 Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.34; vgl. auch OLG Frankfurt/M., Urt. v. 27.6.2019 – 6 U 6/19, ZD 2019, 507; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 14. 589 So aber Stemmer, in: Wolff/Brink, BeckOK Datenschutzrecht, Art. 7 Rn. 77. 590 A. A. z.B. Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 55 m.w.N. 591 Hanloser, ePrivacy: EuGH – Orange România: Hände weg vom „Widersprechen“-Button?, beckcommunity v. 16.3.2020, https://community.beck.de/2020/03/16/eprivacy-eugh-orange-romania-haende-weg-vom-widersprechen-button. 592 EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 91 Rn. 50 – Orange România/ANSPDCP; Schlussanträge des Generalanwalts Szpunar v. 4.3.2020 – Rs. C-61/19, ECLI:EU:C:2020:158, Rn. 60. Siehe hierzu z.B. auch Landesbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer, November 2020, S. 5ff., https://lfd.niedersachsen.de/download/161158. Bei einer solchen Gestaltung handelt es sich oftmals um „Nudging“ bzw. „Dark Patterns“, siehe hierzu Rn. 318. 593 Siehe ausführlich hierzu und zu Gestaltungsmöglichkeiten der Ablehnung einer (elektronischen) Einwilligung: Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.15ff. Siehe auch Landesbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer, November 2020, S. 5ff., https://lfd.niedersachsen.de/download/161158. Siehe auch Rn. 312. 594 Ausführlich zu den Begrifflichkeiten und Formen des „Nudging“ und von „Dark Patterns“: Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 49ff. 595 Baumgartner/Hansch, ZD 2020, 435, 437; Jandt, ZD 2020, 551, 555. 596 Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 51 m.w.N. 597 Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 51, 53 m.w.N. 598 Siehe ausführlich zu möglichen Implikationen von Dark Patterns auf die Freiwilligkeit der Einwilligung Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 55f. 599 Siehe ausführlich zu möglichen Implikationen von Dark Patterns auf die Informiertheit der Einwilligung Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 56. 600 So kann z.B. eine ggf. notwendige (granulare) Auswahl (z.B. von Empfänger von Daten, Verarbeitungszwecken etc.) durch die betroffene Person, die mit einem Aufwand verbunden ist, der außer Verhältnis zum „Einsatzzweck“ der Einwilligung steht (z.B. der Teilnahme an einem Gewinnspiel), eine Form von Nudging/Dark Pattern sein, siehe hierzu Rn. 331. 601 Siehe ausführlich zu möglichen Implikationen von Dark Patterns auf diese Anforderung Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 54f. 602 Siehe z.B. zu verschiedenen Formen von Dark Patterns Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 52. 603 Siehe hierzu die Kommentierung zu den einzelnen Anforderungen. 604 Siehe hierzu Rn. 317. 605 Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 77; Böhm/Halim, MMR 2020, 651, 655; CNIL, Délibération n° 2020-092, v. 17.9.2020, Ziff. 34; Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.28; Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 55f.; Baumgartner/Hansch, ZD 2020, 435, 437 mit Verweisen auf strengere Sichtweisen von Datenschutzaufsichtsbehörden anderer EU-Mitgliedstaaten. 606 A. A. wohl LG Rostock, Urt. v. 15.9.2020 – 3 O 762/19, ZD 2021, 166, 167. 607 Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 77; Kollmar/Schirmbacher, WRP 2020, 1015, 1017 Rn. 21f.; wohl auch Böhm/Halim, MMR 2020, 651, 655; einschränkend Ettig/Herbrich, K&R 2020, 719, 721. 608 Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.28. 609 LG Rostock, Urt. v. 15.9.2020 – 3 O 762/19, ZD 2021, 166, 167. 610 Vgl. auch Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.18. 611 Dies gilt nach hier vertretener Ansicht auch für den Fall, dass dem Nutzer als Alternative zur Erteilung der Einwilligung angeboten wird, den Dienst gegen Zahlung eines Entgelts zu nutzen. Siehe ausführlich zur (Un-)Zulässigkeit der Koppelung der Erbringung von Diensten/des Abschlusses von Verträgen an die Erteilung einer Einwilligung Art. 7 Rn. 94ff. 612 Siehe ausführlich hierzu Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 57f.; siehe ausführlich hierzu auch Art. 25 Rn. 33ff., insb. 72. 613 Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0), S. 19. 614 CNIL, Délibération n° 2020-092, v. 17.9.2020, Ziff. 34. 615 Die Landesbeauftragte verwendet in der Handreichung zwar nur den Begriff „Nudging“. Allerdings scheint sie dabei von einem Verständnis des Begriffs „Nudging“ auszugehen, der „Dark Patterns“ mit umfasst, siehe Landesbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer, November 2020, S. 5, https://lfd.niedersachsen.de/download/161158. 616 Landesbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer, November 2020, S. 7, https://lfd.niedersachsen.de/download/161158. 617 Landesbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer, November 2020, S. 7, https://lfd.niedersachsen.de/download/161158. 618 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 15f. 619 Vgl. z.B. Stemmer, in: Wolff/Brink, BeckOK Datenschutzrecht, Art. 7 Rn. 74. 620 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 68; so wohl auch Ingold, in: Sydow, EU-Datenschutzgrundverordnung, Art. 7 Rn. 38. 621 Stemmer, in: Wolff/Brink, BeckOK Datenschutzrecht, Art. 7 Rn. 74. 622 BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540, 2544 m.w.N. – Cookie-Einwilligung II. 623 Ernst, in: Paal/Pauly, DS-GVO/BDSG, Art. 4 Rn. 78; Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 75. 624 Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 75 m.w.N. 625 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 68. 626 Siehe zur Frage, inwiefern betroffene Personen einzelnen Verarbeitungszwecken gesondert zustimmen können müssen, die Ausführungen unter Rn. 310ff. 627 Ernst, in: Paal/Pauly, DS-GVO/BDSG, Art. 4 Rn. 78. 628 Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 65. 629 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 69. 630 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 69; siehe auch die Erläuterungen zur Informiertheit der Einwilligung unter Rn. 335ff. 631 Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 61. 632 BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540, 2544 Rn. 36 – Cookie-Einwilligung II; Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 77; vgl. auch LG Rostock, Urt. v. 15.9.2020 – 3 O 762/19, ZD 2021, 166, 167. 633 BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540, 2544 Rn. 36 – Cookie-Einwilligung II. 634 Siehe zum Mehrebenenansatz Rn. 345; so z.B. auch Rauer/Ettig, ZD 2021, 18, 21 m.w.N.; a.A. wohl LG Rostock, Urt. v. 15.9.2020 – 3 O 762/19, ZD 2021, 166, 167. 635 EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 90 Rn. 47 – Orange România/ANSPDCP. 636 Siehe ausführlich hierzu z.B. Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 F Rn. 327ff.; Schaar, RatSWD Working Paper Series 264, S. 7; kritisch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 36ff., und auch Datenschutzkonferenz, Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO, 3.4.2019, https://www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf. Siehe in diesem Zusammenhang auch die Einwilligungsdokumente der Medizininformatik-Initiative des Bundesministeriums für Bildung und Forschung, die von der Datenschutzkonferenz als datenschutzkonform akzeptiert wurden, Pressemitteilung der Datenschutzkonferenz v. 24.4.2020, https://www.datenschutzkonferenz-online.de/media/pm/20200427_Einwilligungsdokumente_der_Medizininformatik-Initiative.pdf. 637 Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 11 Rn. 8. 638 Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 57; Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 52. 639 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 79; Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 72 m.w.N.; vgl. auch Moos/Rothkegel, MMR 2019, 736, 738; siehe aber auch EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 560 Rn. 55 – Planet49, dessen Ausführungen nach hier vertretener Lesart aber so auszulegen sind, dass in dem vorliegenden Fall keine zumutbare Möglichkeit der Kenntnisnahme bestand, wobei der EuGH allerdings auch Wirksamkeitsvoraussetzungen und Nachweisanforderungen der Einwilligung miteinander vermengt, Moos/Rothkegel, MMR 2019, 736, 737. 640 EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 90 Rn. 37, 40 – Orange România/ANSPDCP. 641 EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 91 Rn. 46 – Orange România/ANSPDCP. 642 Siehe für den Sachverhalt, EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 89 und 91 Rn. 43 – Orange România/ANSPDCP. 643 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 276. 644 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 292. 645 Siehe hierzu Art. 7 Rn. 46ff. 646 In diesem Zusammenhang ist insbesondere auch auf die Gestaltung des Mechanismus zur Erteilung der Einwilligung (z.B. der Ankreuzfelder) zu achten, vgl. EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 560 Rn. 55 – Planet49; Moos/Rothkegel, MMR 2019, 736, 737f. 647 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 18. 648 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 272; einschränkend: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 18. Treten nach Erteilung der Einwilligung noch Datenempfänger hinzu, kommt ggf. auch eine Zulässigkeit der Datenübermittlung nach Art. 6 Abs. 1 lit. f DSGVO an diese Empfänger in Betracht (siehe hierzu Schulz, in: Gola, DS-GVO, Art. 7 Rn. 38). Siehe für den Fall des Einsatzes von Cookies: EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 560 Rn. 74ff., insbesondere Rn. 81 – Planet49: „ob Dritte Zugriff auf die Cookies erhalten können“. Entgegen des Wortlauts der Urteilsbegründung ist eine Negativinformation, dass kein Zugriff von Dritten stattfindet, aber nicht erforderlich: Rauer/Ettig, ZD 2021, 18, 23 m.w.N.; a.A. GA Szpunar, Schlussanträge v. 21.3.2019 – C-673/17, ECLI:EU:C:2019:246 Rn. 120 – Planet49. 649 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 18. 650 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 272f.; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 18. 651 Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 58; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 18. 652 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 272; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 18; siehe auch EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 560 Rn. 74ff., insbesondere Rn. 81 – Planet49; EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 90 Rn. 40 – Orange România SA. 653 Ebenso (u.a.) auch darüber, ob Dritte Zugriff auf die Cookies erhalten können, siehe hierzu schon die vorangegangenen Ausführungen zur Angabe von Empfängern und Fn. 647; EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 560 Rn. 74ff., insbesondere Rn. 81 – Planet49; EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 90 Rn. 40 – Orange România SA. Bei der Erteilung dieser Angaben scheint es sich nach Auffassung des EuGH in der Orange România-Entscheidung wohl um eine Wirksamkeitsvoraussetzung zu handeln, siehe Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 79ff. Siehe ausführlich zu den beim Einsatz von Cookies für eine wirksame Einwilligung zu erteilenden Informationen § 25 TTDSG Rn. 34ff. 654 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 272. 655 Vgl. EuGH, Urt. v. 11.11.2020 – C-61/19 –, ZD 2021, 89, 90 Rn. 41 – Orange România/ANSPDCP. 656 So aber Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 55f., 60 bzgl. der in Art. 13 Abs. 1 lit. a–c, e–f, Abs. 2 DSGVO bzw. in Art. 14 Abs. 1 und ggf. in Abs. 2 lit. a, c–g DSGVO genannten Punkte mit Verweis auf EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 560 – Planet49; vgl. auch Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 40. Wie hier z.B. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 19f. 657 Siehe auch Moos/Rothkegel, MMR 2019, 736, 739; siehe auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 19f. 658 EuGH, Urt. v. 11.11.2020 – C-61/19 –, ZD 2021, 89, 90 Rn. 40 – Orange România/ANSPDCP, der zudem verlangt, dass die Informationen gewährleisten müssen, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. 659 Vgl. Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 54. 660 Vgl. z.B. auch Rauer/Ettig, ZD 2021, 18, 23. 661 EuGH, Urt. v. 11.11.2020 – C-61/19 –, ZD 2021, 89, 90 Rn. 40 – Orange România/ANSPDCP. 662 Auch der Entscheidung des EuGH in Sachen Planet49 lässt sich nach hier vertretener Lesart nichts anderes entnehmen (EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 560 Rn. 72ff.), so aber z.B. Stemmer in Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 55. Der BGH lässt die Frage, welche Informationen im Fall Planet49 notwendig gewesen wären, um eine informierte Einwilligung annehmen zu können, mangels Relevanz für seine Entscheidung ausdrücklich offen, BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540, 2547 Rn. 65 – Cookie-Einwilligung II. 663 Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.40ff.; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 19f.; Arning, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 47.35. Soweit in der Datenschutzerklärung auch über Datenverarbeitungen informiert wird, die von der Einwilligung nicht umfasst sind, muss hinreichend klargemacht werden, auf welchen Teil der Datenschutzerklärung sich der Verweis bezieht (vgl. Gierschmann, MMR 2020, 613, 615). 664 Siehe z.B. Schulz, in: Gola, DS-GVO, Art. 7 Rn. 36 m.w.N.; Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 72; Moos/Rothkegel, MMR 2019, 736, 739; vgl. auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 17ff. 665 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 72. 666 Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 59; Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 275; so wohl auch: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 18f.; a.A. z.B. Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 60, die auf einen durchschnittlichen Verbraucher ohne juristische Vorkenntnisse abstellen. 667 Vgl. Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 60. 668 Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 77ff., 88 m.w.N.; Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 276; Schulz, in: Gola, DS-GVO, Art. 7 Rn. 40; Rauer/Ettig, ZD 2021, 18, 21; ablehnend wohl: Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 80. Vgl. auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020, S. 20, nach dem eine solche Einwilligung wohl grundsätzlich unwirksam ist, wenn auf der ersten Ebene der Information nicht die Identität des Verantwortlichen und der Verarbeitungszweck mitgeteilt werden. Auch der BGH hat in seiner Cookie-Einwilligung-II-Entscheidung die Verfolgung eines Mehrebenenansatzes nicht untersagt, BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540, 2544 Rn. 36 – Cookie-Einwilligung II. Siehe ausführlich hierzu Landesbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer, November 2020, S. 1ff., https://lfd.niedersachsen.de/download/161158. Ebenso lässt sich nach hier vertretener Ansicht auch dem Urteil des EuGH in Sachen Orange România/ANSPDCP (EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89) keine Wertung des Gerichts entnehmen, dass derartige Gestaltungen nicht zulässig sein sollen und beispielsweise sämtliche erforderlichen Informationen direkt im Einwilligungstext enthalten sein müssen (siehe Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 80ff.). 669 Siehe für ausführliche Beispiele z.B. Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.1ff.; Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 88. 670 Vgl. hierzu die Ausführungen des BGH zur (fehlenden) Bestimmtheit der Einwilligung, wenn die Auswahl bestimmter Empfänger auf der zweiten Ebene mit einem unverhältnismäßigen Aufwand verbunden ist, BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540, 2544 Rn. 36 – Cookie-Einwilligung II; siehe auch oben Rn. 331. 671 Schulz, in: Gola, DS-GVO, Art. 7 Rn. 40; Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 60a. 672 Siehe z.B. Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 64. 673 Siehe z.B. Art. 8 Abs. 1 Satz 2 DSGVO. Siehe auch AG Gießen, 16.7.2018 – 230 XVII 381/174, BeckRS 2018, 17963. 674 Ingold, in: Sydow, EU-Datenschutzgrundverordnung, Art. 7 Rn. 20. 675 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 36 m.w.N. 676 Für die Verarbeitung von Beschäftigtendaten muss die Einwilligung nach § 26 Abs. 2 Satz 3 BDSG hingegen grundsätzlich schriftlich oder elektronisch erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 677 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 20f. Siehe auch EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 559 Rn. 62 – Planet49; EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 90 Rn. 36 – Orange România/ANSPDCP; Taeger/Schwede, ZD 2020, 124, 125. 678 Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.10; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 21. 679 Moos/Gerhardt, in: Moos, Datenschutz und Datennutzung, Teil 7 Rn. 46.25. 680 Eine solche Gleichsetzung kann auch nicht aus dem Urteil des EuGH in Sachen „Planet49“ (Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556) abgeleitet werden, siehe Moos/Rothkegel, MMR 2019, 736, 738. 681 Kritisch gegenüber dem Konzept der konkludenten Einwilligung: Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 58a ff. 682 Vgl. auch Krohm, ZD 2016, 368, 371f.; Moos/Rothkegel, MMR 2019, 736, 738; a.A. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 22; Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 58c; kritisch ebenfalls Rauer/Ettig, ZD 2018, 255, 258; Gola, in: Gola, DS-GVO, Art. 4 Rn. 84. 683 Moos/Rothkegel, MMR 2019, 736, 738. 684 Zu verbleibenden Gestaltungsmöglichkeiten siehe z.B. Moos/Rothkegel, MMR 2019, 736, 738, und Moos/Gerhardt, in: Moos: Datenschutz und Datennutzung, Teil 7 Rn. 46.9. Den Nachweis praktisch für unmöglich haltend, dabei aber Wirksamkeitsvoraussetzungen mit Nachweismöglichkeiten vermischend: EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 559 Rn. 55 – Planet49; vgl. auch Moos/Rothkegel, MMR 2019, 736, 738. 685 Ausführlich hierzu: Taeger/Schwede, ZD 2020, 124, 126ff., zumindest sofern keine ausdrücklichte Einwilligung erforderlich ist; Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 36; a.A. und eine weitere aktive Handlung zur Bestätigung der Einwilligungserklärung verlangend, z.B. Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 67.1. Im Übrigen ist festzustellen, dass der EuGH die (unzutreffenden) Ausführungen des Generalanwalts in seinen Schlussanträgen nicht in seine Entscheidung in Sachen Planet49 mit aufgenommen hat, wonach die datenschutzrechtliche Einwilligung nicht mit einer Willensbekundung, wie der Erklärung zur Teilnahme an einem Gewinnspiel, verbunden werden könne (siehe ausführlich: Moos/Rothkegel, MMR 2019, 736, 738). In seiner Entscheidung in Sachen Orange România/ANSPDCP scheint der EuGH dann auch die Auffassung zu vertreten, dass die Einwilligung zusammen mit anderen Erklärungen erteilt werden kann, EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 90. Unklar: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 21f., der zwar einerseits ausführt, dass eine Einwilligung nicht mit der gleichen Handlung wie die Zustimmung zu einem Vertrag oder AGB erteilt werden könne. Daran schließt sich allerdings die Aussage an, dass eine pauschale Annahme der AGB nicht als eindeutig bestätigende Handlung angesehen werden könne. Dies ist zumindest im Hinblick auf Konstellationen, in denen die Zustimmung duch eine unmissverständlich abgegebene Willensbekundung erfolgt, uneindeutig. Siehe zu der Thematik auch die Kommentierung zu Art. 7 Rn. 39 und 54ff., insbesondere 58. 686 Siehe z.B. Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 37. 687 EuGH, Urt. v. 1.10.2019 – C-673/17, ZD 2019, 556, 559 Rn. 65 – Planet49; EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89, 90 Rn. 37 – Orange România/ANSPDCP; BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540, 2546 Rn. 64 – Cookie-Einwilligung II; LG Rostock, Urt. v. 15.9.2020 – 3 O 762/19, ZD 2021, 166, 167. 688 Siehe hierzu auch Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47, 54f. 689 Siehe ausführlich hierzu Art. 7 Rn. 46ff. Siehe auch EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89 – Orange România/ANSPDCP. 690 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 254. 691 Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 252. 692 Schulz, in: Gola, DS-GVO, Art. 7 Rn. 44; Härting, Datenschutz-Grundverordnung, Rn. 362f.; Weigl, CRi 2016, 102, 107; Rohwedder, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 253. 693 So auch Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 74; vgl. auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 22; a.A. Schirmbacher, ITRB 2016, 274, 279; Weigl, CRi 2016, 102, 107. 694 Arning/Hansen-Oest/Strassemeyer, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 A Rn. 74. Siehe in diesem Zusammenhang für den Anwendungsbereich des TTDSG: § 26 TTDSG. 695 Moos/Rothkegel, MMR 2019, 736, 739. 696 Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 11 Rn. 12; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 66ff.; Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 32; a.A. und grundsätzlich auf die Geschäftsfähigkeit abstellend Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 130. 697 Nach Art. 8 Abs. 1 Satz 3 DSGVO dürfen die Mitgliedstaaten diese starre Altersgrenze auf bis zu 13 Jahre herabsenken. Von dieser Erlaubnis hat die Bundesrepublik Deutschland zumindest bisher keinen Gebrauch gemacht. 698 Siehe z.B. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 27; Schulz, in: Gola, DS-GVO, Art. 7 Rn. 58. Vgl. im Hinblick auf § 7 UWG und die RL 2002/58/EG auch BGH, MMR 2018, 460, 462f. 699 Siehe ausführlich hierzu Art. 7 Rn. 76 m.w.N.; siehe auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 27, der als Kriterien für die Wirksamkeitsdauer den Zusammenhang, den Umfang der ursprünglichen Einwilligung sowie die Erwartungen der betroffenen Person nennt. 700 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 27. 701 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1 v. 4.5.2020), S. 27; Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 7 Rn. 30. 702 Eine Weiterverarbeitung auf Basis eines Kompatibilitätstests gem. Art. 6 Abs. 4 DSGVO ist in diesem Fall nicht zulässig, siehe z.B. Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 50. 703 Siehe Schulz, in: Gola, DS-GVO, Art. 7 Rn. 58; Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 7 Rn. 43; a.A. zu § 7 UWG z.B. LG Berlin, 9.12.2011 – 15 O 343/11, BeckRS 2012, 8644; LG München I, 8.4.2010 – 17 HK O 138/10, BeckRS 2011, 14109; LG Berlin 2.7.2004 – 15 O 653/0, MMR 2004, 688; wohl auch OLG Köln, 7.12.2012 – 6 U 69/12, GRUR-RR 2013, 220, 221. 704 Rohwedder, in: Moos, Datenschutz und Datennutzung, § 45 Rn. 45.2, 45.12; Schulz, in: Gola, DS-GVO, Art. 7 Rn. 58. 705 Zum Europäischen Datenschutzausschuss vgl. Art. 68 DSGVO. 706 Vgl. etwa Europäischer Datenschutzausschuss, Guidelines 01/2021 on Examples regarding Data Breach Notification, v. 14.1.2021. 707 Vgl. unten Rn. 370. 708 So auch Jandt, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 12 Rn. 5. 709 Vgl. zu § 9 BDSG Karg, in: Wolff/Brink, BeckOK DatenschutzR, § 9 Rn. 12. 710 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 56. 711 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 57f.; vgl. ebenso S. Mantz, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 179. 712 So auch Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 57f.; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 133; Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 12 Rn. 4. 713 So auch Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 57f. 714 Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 135. 715 Jandt, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 12 Rn. 7 716 Passim Art.-29-Datenschutzgruppe, WP 250, 5f. 717 Jandt, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 12 Rn. 7f. 718 Art.-29-Datenschutzgruppe, WP 250, 5. 719 Jandt, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Abs. 12 Rn. 7. 720 Art.-29-Datenschutzgruppe, WP 250, 5. 721 Für ein weiteres Beispiel bei der Verschlüsselung durch sog. „Ransomware“ vgl. R. Mantz, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 178. 722 Zur Begriffsbestimmung des BDSG Gola/Schomerus, BDSG, § 3 Rn. 30. 723 So auch Jandt, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Abs. 12 Rn. 8a. 724 Zum Begriff der „Offenlegung“ siehe Art. 4 Nr. 2 DSGVO. 725 Insofern trifft den Auftragsverarbeiter gemäß Art. 33 Abs. 2 DSGVO eine genuine Meldepflicht an den Verantwortlichen, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. 726 Vgl. oben Rn. 231ff. 727 Jandt, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 12 Rn. 8a. 728 Siehe zu den verschiedenen Fassungen des Begriffs der „genetischen Daten“ im Rahmen des Gesetzgebungsprozesses Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 13 Rn. 4f. 729 Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 13 Rn. 13. 730 „Physiologie“ auf Duden online, https://www.duden.de/node/111402/revision/111438; siehe auch Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 13 Rn. 13 m.w.N. 731 Vgl. z.B. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 13 Rn. 12 m.w.N. 732 Siehe Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 13 Rn. 2. 733 Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 13 Rn. 9 m.w.N. 734 Siehe z.B. Forgó/Kollek/Arning/Krügel/Petersen, Ethical and Legal Requirements for Transnational Genetic Research, S. 1ff. 735 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 13 Rn. 5; Art.-29-Datenschutzgruppe, Arbeitspapier über genetische Daten, S. 4f. 736 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 13 Rn. 10. 737 Zur Gesetzgebungshistorie siehe Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 14 Rn. 5. 738 Siehe Bundesamt für Sicherheit in der Informationstechnik, Grundsätzliche Funktionsweise biometrischer Verfahrenhttps://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Technologien_sicher_gestalten/Biometrie/AllgemeineEinfuehrung/allgemeineeinfuehrung_node.html unter Verweis auf: Duden, Das große Fremdwörterbuch. 739 Vgl. Albrecht, Biometrische Verfahren im Spannungsfeld von Authentizität im elektronischen Rechtsverkehr und Persönlichkeitsschutz, S. 31. 740 Thüsing/Granetzny, in: Thüsing, Beschäftigtendatenschutz und Compliance, § 13 Rn. 1; Müller, IT-Sicherheit mit System, S. 288. 741 Siehe z.B. Art.-29-Datenschutzgruppe, Arbeitspapier über Biometrie, S. 3f.; Albrecht, Biometrische Verfahren im Spannungsfeld von Authentizität im elektronischen Rechtsverkehr und Persönlichkeitsschutz, S. 39ff.; Petermann/Sauter, Biometrische Identifikationssysteme, S. 17ff. 742 Siehe z.B. Art.-29-Datenschutzgruppe, Arbeitspapier über Biometrie, S. 4; Albrecht, Biometrische Verfahren im Spannungsfeld von Authentizität im elektronischen Rechtsverkehr und Persönlichkeitsschutz, S. 39ff.; Petermann/Sauter, Biometrische Identifikationssysteme, S. 17ff. 743 Vgl. z.B. Biltzinger, DuD 2005, 726, 727f.; Albrecht, Biometrische Verfahren im Spannungsfeld von Authentizität im elektronischen Rechtsverkehr und Persönlichkeitsschutz, S. 38. 744 Vgl. z.B. Biltzinger, DuD 2005, 726, 727; Albrecht, Biometrische Verfahren im Spannungsfeld von Authentizität im elektronischen Rechtsverkehr und Persönlichkeitsschutz, S. 38. 745 Vgl. auch Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 14 Rn. 2; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 101. 746 Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 14 Rn. 8. 747 So auch Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 14 Rn. 7. 748 Albrecht, Biometrische Verfahren im Spannungsfeld von Authentizität im elektronischen Rechtsverkehr und Persönlichkeitsschutz, S. 36; Dotzler, Datenschutzrechtliche Aspekte und der Einsatz biometrischer Systeme in Unternehmen, S. 13. 749 Siehe zur Gesetzgebungshistorie Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 15 Rn. 1. 750 Siehe hierzu auch ErwG 51; so zur DSRl auch schon Gounalakis/Mand, CR 1997, 431, 437f. 751 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 110. 752 Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 55. 753 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 15 Rn. 1. 754 Nicht eindeutig, ob solche Angaben stets als personenbezogen anzusehend sind, Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 15 Rn. 3. 755 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 110. 756 Gola, in: Gola, DS-GVO, Art. 4 Rn. 97. 757 Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 17 F Rn. 246. 758 Vgl. auch Gola, in: Gola, DS-GVO, Art. 4 Rn. 97; Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 15 Rn. 7; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 165a; Matejek/Mäusezahl, ZD 2019, 551, 552f. 759 Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 165. 760 Siehe hierzu in Bezug auf § 3 Abs. 9 BDSG a.F. schon Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2002, Abschnitt 3.1. 761 So auch Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 15 Rn. 7; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 165ff.; Matejek/Mäusezahl, ZD 2019, 551, 552f.; a.A. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 109; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 143; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 9 Rn. 11f.; vgl. auch Reuter, ZD 2018, 564, 565f.; wohl auch OLG Naumburg, Urt. v. 7.11.2019 – 9 U 6/19, BeckRS 2019, 28387, Rn. 57ff. 762 So auch Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 9 Rn. 3. 763 So z.B. Gola, in: Gola, DS-GVO, Art. 4 Rn. 97, und Schulz, in: Gola, DS-GVO, Art. 9 Rn. 13 (bzw. der Schutzzweck der Regelung eröffnet ist); vgl. auch VG Mainz, Urt. v. 24.9.2020 – 1 K 584/19.MZ, BeckRS 2020, 28535 Rn. 29. 764 Siehe z.B. Gola, in: Gola, DS-GVO, Art. 4 Rn. 97; vgl. auch VG Mainz, Urt. v. 24.9.2020 – 1 K 584/19.MZ, BeckRS 2020, 28535 Rn. 29. 765 So auch Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 9 Rn. 12; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 165b. 766 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 9 Rn. 22; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 165b. 767 Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte (Version 2.0), S. 17f.; Datenschutzkonferenz, Kurzpapier Nr. 17: Besondere Kategorien personenbezogener Daten, 27.3.2018, S. 1. Siehe ausführlich hierzu: Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 166a. 768 Dem Kurzpapier der Datenschutzkonferenz lassen sich keine Ausführungen zu dem ihrer Ansicht nach relevanten Abgrenzungskriterium entnehmen. 769 Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 166a. 770 Vgl. VG Mainz, Urt. v. 24.9.2020 – 1 K 584/19.MZ, BeckRS 2020, 28535, Rn. 29; Schulz, in: Gola, DS-GVO, Art. 9 Rn. 13, nach denen allerdings die subjektive Auswertungsabsicht das entscheidende Abgrenzungskriterium sei (Schulz stellt alternativ auch auf den Schutzzweck der Regelung ab). Siehe auch Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 168a. 771 Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 168a; vgl. VG Mainz, Urt. v. 24.9.2020 – 1 K 584/19.MZ, BeckRS 2020, 28535, Rn. 29; Schulz, in: Gola, DS-GVO, Art. 9 Rn. 13, nach denen allerdings die subjektive Auswertungsabsicht das entscheidende Abgrenzungskriterium sei (Schulz stellt alternativ auch auf den Schutzzweck der Regelung ab). 772 Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 5 Rn. 168a. 773 Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 10 Rn. 37. 774 Hierzu ausführlich Art. 56 Rn. 3. 775 Ausführlich zum Begriff der Niederlassung Art. 3 Rn. 10. 776 EuGH, Urt. v. 13.5.2014 – C-131/12, K&R 2014, 502 = GRUR 2014, 895, 898 – Google Spain; EuGH, Urt. v. 1.10.2015 – C-230/14, ZD 2015, 580, 582 – Weltimmo. 777 Vgl. ErwG 36 Satz 8. 778 Vgl. ErwG 36 Satz 8. 779 Implizit Art.-29-Datenschutzgruppe, WP 244 rev.01, 7. 780 Vgl. oben Rn. 181. 781 Vgl. oben Rn. 224f. 782 So auch Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Art. 4 Nr. 16 Rn. 8; vgl. auch Kriterien zur Bestimmung der Hauptniederlassung nach Art.-29-Datenschutzgruppe, WP 244 rev.01, 7–8; ErwG 36 a.E. 783 Art.-29-Datenschutzgruppe, WP 244 rev.01, 6. 784 Vgl. Art.-29-Datenschutzgruppe, WP 244 rev.01, 7. 785 Art.-29-Datenschutzgruppe, WP 244 rev.01, 6. 786 Körffer, in: Paal/Pauly, DS-GVO BDSG, Art. 65 Rn. 4; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 65 Rn. 9; Marsch, in: BeckOK DatenschutzR, Art. 65 Rn. 6. 787 Vgl. Art.-29-Datenschutzgruppe, WP 244 rev.01, 5; BayLDA, Whitepaper 13; Borges, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil I Kap. 3 Rn. 234. 788 Art.-29-Datenschutzgruppe, WP 244 rev.01, 6. 789 Art.-29-Datenschutzgruppe, WP 244 rev.01, 9. 790 Vgl. Art.-29-Datenschutzgruppe, WP 244 rev.01, 7. 791 Die Entscheidung über Zweck und Mittel der Verarbeitung obliegt nicht dem Auftragsverarbeiter und kann daher, anders als beim Verantwortlichen, nicht über die Hauptniederlassung bestimmen, Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 199. 792 Vgl. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 201. 793 Vgl. insoweit zur Delegation der Stellung als Verantwortlicher Rn. 182ff. 794 Art.-29-Datenschutzgruppe, WP 244 rev.01, 6f. 795 Vgl. ErwG 80 Satz 3. 796 Vgl. Art. 27 Abs. 4 DSGVO; ErwG 80. 797 Ausführlich zur Stellung sowie zu den Pflichten des Vertreters siehe Art. 27 Rn. 43ff. und 65ff. 798 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 75. 799 Vgl. zur alten Rechtslage Dammann, in: Simitis, BDSG, § 1 Rn. 234. 800 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 17 Rn. 8. 801 Danach ist folgende Klassifizierung anzuwenden: Kleinstunternehmen (bis 10 Mitarbeiter und 2 Mio. EUR Jahresumsatz bzw. Jahresbilanz); kleines Unternehmen (bis 50 Mitarbeiter und 10 Mio. EUR Jahresumsatz bzw. Jahresbilanz); mittleres Unternehmen (bis 250 Mitarbeiter und 50 Mio. EUR Jahresumsatz bzw. 43 Mio. EUR Jahresbilanz). 802 Vgl. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 158. 803 Schröder, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 18 Rn. 1. 804 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 77. 805 Zu alledem Kühling, in: Streinz, EUV/AEUV, Art. 106 AEUV Rn. 7f. m.w.N. 806 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 124. 807 Vgl. ErwG 18. 808 Ausführlich hierzu Art. 83 DSGVO Rn. 40ff. zur Spezialität und Auslegungsdirektive des ErwG 150 Satz 3; Nemit, in: Ehmann/Selmayr, DS-GVO, Art. 83 Rn. 19. 809 Gola, in: Gola, DS-GVO, Art. 83 Rn. 19. 810 Ausführlich Emmerich, in: Immenga/Mestmäcker, EU-Wettbewerbsrecht, Art. 101 Abs. 1 AEUV Rn. 7; Weiß, in: Calliess/Ruffert, EUV/AEUV, Art. 101 AEUV Rn. 25 jeweils m.w.N. 811 Hierauf hinweisend Faust/Spittka/Wybitul, ZD 2016, 120, 123; Schröder, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 18 Rn. 2. 812 Ausführlich Schröder, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 18 Rn. 2. 813 Vgl. Keppeler/Berning, DStR 2018, 91 m.w.N. in Fn. 3f. 814 Bierekoven, ITRB 2017, 282, 284. 815 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 117. 816 So Schröder, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 19 Rn. 1. 817 So auch Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 222. 818 Vgl. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 221. 819 In diese Richtung auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 129. 820 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 129. 821 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 80; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 130. 822 Siehe zur „zweiten Stufe“ die Erläuterungen unter Art. 44 Rn. 15f. 823 Siehe z.B. die Arbeitsdokumente der Art.-29-Datenschutzgruppe zu „verbindlichen unternehmensinternen Datenschutzregelungen“ WP 154, 155, 256 und 257. 824 Zudem wird der Begriff in Art. 49 DSGVO verwendet, indem ein internationaler Datentransfer nur unter bestimmten Voraussetzungen auf die in Art. 49 DSGVO statuierten Ausnahmen gestützt werden kann. Zu diesen Voraussetzungen gehört u.a., dass keine verbindlichen internen Datenschutzvorschriften existieren. 825 Schröder, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 20 Rn. 2. 826 Vgl. Differenzierung zwischen Binding Corporate Rules für Controller und Binding Corporate Rules für Processor in Art. 47 DSGVO Rn. 3. 827 Vgl. genauer Selmayr, in: Ehmann/Selmayr, DS-GVO, Art. 52 Rn. 13; Roßnagel, Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, Kap. 2, S. 7f. 828 Ausführlich hierzu Art. 55 Rn. 4ff.; ferner Schefzig/Rothkegel/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 16 Rn. 5ff. 829 Ausführlich hierzu Art. 57 Rn. 4ff.; ferner Schefzig/Rothkegel/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 16 Rn. 16ff. 830 Ausführlich hierzu Art. 60 Rn. 7ff.; ferner Schefzig/Rothkegel/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 16 Rn. 45ff. 831 Ausführlich hierzu Art. 51 Rn. 4ff.; ferner Schefzig/Rothkegel/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 16 Rn. 11ff. 832 v. Lewinski, NVwZ 2017, 1483, 1485. 833 Ausführlich hierzu Art. 56 Rn. 10ff., sowie Schefzig/Rothkegel/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 16 Rn. 46ff. 834 Ausführlich zum Niederlassungsbegriff Art. 3 Rn. 8ff. 835 So auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 134f. 836 Vgl. oben für Verantwortliche Rn. 347ff., für Auftragsverarbeiter Rn. 355. 837 In diese Richtung auch Borges, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil I Kap. 3 D. V. 2. Rn. 271f. 838 Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 243, 244; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 135. 839 Vgl. Art.-29-Datenschutzgruppe, WP 244 rev.01, 11. 840 Vgl. zu dem Begriff i.R.v. Art. 4 Nr. 23 DSGVO: Art.-29-Datenschutzgruppe, WP 244 rev.01, 3f.; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 249. 841 Vgl. zu den möglichen Folgen ErwG 75. 842 So auch Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 249. 843 Vgl. Art.-29-Datenschutzgruppe, WP 244 rev.01, S. 4. 844 Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 251. 845 Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 252. 846 Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 137. 847 Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 89. 848 So auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 137. 849 In diese Richtung auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 137. 850 Ausführlich hierzu Art. 77 Rn. 13. 851 Den weiten Anwendungsbereich von Art. 4 Nr. 22 lit. c DSGVO ebenfalls betonend Boehm, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 22 Rn. 7; ferner Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 85; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 137. 852 Vgl. EuGH, Urt. v. 13.5.2014 – C-131/12, K&R 2014, 502 = ZD 2014, 350, 354, Rn. 52 – Google Spain; EuGH, Urt. v. 1.10.2015 – C-230/14, ZD 2015, 580, 582, Rn. 35 – Weltimmo. 853 Vgl. Nguyen, in: Gola, DS-GVO, Art. 56 Rn. 5. 854 Dix, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 23 Rn. 3. 855 Vgl. Schreiber, in: Plath, BDSG DSGVO, Art. 4 Nr. 23 Rn. 95. 856 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 88. 857 Vgl. insoweit Rn. 475f. 858 Dies auch klarstellend Dix, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 23 Rn. 1. 859 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 141. 860 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und Rates vom 9.9.2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. EG Nr. 241/1 vom 17.9.2015, S. 1); zu den Problemen dieser Verweisung Kühling/Buchner, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 25 Rn. 5a. 861 Khan/Eisenhut, in: Vedder/Heintschel von Heinegg, Europäisches Unionsrecht, Art. 57 AEUV Rn. 11. 862 Vgl. EuGH, Urt. v. 3.10.2006, Rs. C-452/04 – Fidium Finanz AG; EuGH, Urt. v. 24.3.1994, Rs. C-275/92 – Schindler. 863 Dies entspricht insoweit auch der Wertung von Art. 8 Abs. 3 DSGVO, wonach die Regelungen zur Einwilligungserteilung eines Kindes in Bezug auf Dienste der Informationsgesellschaft das Vertragsrecht der Mitgliedstaaten unberührt lassen. Insofern bedarf es im Falle der Durchführung eines (nach dem jeweiligen nationalen Recht wirksamen) Kaufvertrags ohnehin keiner Einwilligung des betroffenen Kindes i.S.v. Art. 8 DSGVO, da die Rechtfertigung der hierzu erforderlichen Datenverarbeitung aus Art. 6 Abs. 1 lit. b DSGVO folgt. 864 EuGH, Urt. v. 25.3.2004, Rs. C-71/02, Rn. 47 – Karner; Müller-Graff, in: Streinz, EUV AEUV, Art. 56 AEUV Rn. 25. 865 Vgl. etwa das Anbieten eines kostenfreien Internetzugangs in einem Ladenlokal (EuGH, Urt. v. 15.9.2016 – C-484/14, K&R 2016, 733 = ZD 2016, 578, 579, Rn. 43 – McFadden). 866 Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 25 Rn. 8. 867 Schumacher, K&R 2015, 771, 775. 868 Randelzhofer/Forsthoff, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 57 AEUV Rn. 45 dort Fn. 9 m.w.N. 869 EuGH, Urt. v. 11.9.2014 – C-291/13, MMR 2016, 63 Rn. 28, 29 – Papasavvas. 870 EuGH, Urt. v. 15.9.2016 – C-484/14, K&R 2016, 733 = ZD 2016, 578, 579, Rn. 42 – McFadden. 871 Kühling/Buchner, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 25 Rn. 6f. 872 So auch Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 25 Rn. 9. 873 EuGH, Urt. v. 15.9.2016 – C-484/14, K&R 2016, 733 = ZD 2016, 578 m. Anm. Weisser/Färber – McFadden. 874 EuGH, Urt. v. 11.9.2014 – C-291/13, MMR 2016, 63 Rn. 28, 29 – Papasavvas; vgl. auch Tiedje, in: von der Groeben/Schwarze/Hatje, Art. 57 AEUV Rn. 14, 17 m.w.N. 875 EuGH, Urt. v. 3.10.2002 – C 136/00; EuGH, Urt. v. 27.9.1988 – 263/86, Rn. 17,19; EuGH, NVwZ 1994, 366, 367. 876 Gola, in: Gola, DS-GVO, Art. 4 Rn. 122. 877 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 96. 878 Weber, in: Creifelds, Rechtswörterbuch 2016. 879 Vgl. Definition der ILC, Report of the International Law Commission, Fifty-fifth session Report 2003, Responsibility of international Organizations, Art. 3, S. 33. 880 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 98.

Poprzedni 1 ...15 ...31 323334 35 ...45 ...60 ...75 ...76 Kolejny