§ 2 Geltungsbereich

§ 5 Ende der Abfalleigenschaft

1.er üblicherweise für bestimmte Zwecke verwendet wird,

2.ein Markt für ihn oder eine Nachfrage nach ihm besteht,

3.er alle für seine jeweilige Zweckbestimmung geltenden technischen Anforderungen sowie alle Rechtsvorschriften und anwendbaren Normen für Erzeugnisse erfüllt sowie

4.seine Verwendung insgesamt nicht zu schädlichen Auswirkungen auf Mensch oder Umwelt führt.

.........

§ 6 Abfallhierarchie

• § 7 KrWG haben die Notwendigkeit, die Einhaltung der Abfallhierarchie zu steuern und auf Anfrage nachzuweisen
• Bundes-Immissionsschutzgesetzes (BImSchG) § 5(1) + §22(1)
• Nachweisverordnung (NachwV) §24
• Marketinggesichtspunkte

§ 50 Nachweispflichten

§ 59 Bestellung eines Betriebsbeauftragten für Abfall

1.anfallenden, zurückgenommenen, verwerteten oder beseitigten Abfälle,

2.technischen Probleme der Vermeidung, Verwertung oder Beseitigung oder

3.Eignung der Produkte oder Erzeugnisse, die bei oder nach bestimmungsgemäßer Verwendung Probleme hinsichtlich der ordnungsgemäßen und schadlosen Verwertung oder umweltverträglichen Beseitigung hervorrufen.

§ 60 Aufgaben des Betriebsbeauftragten für Abfall

1.den Weg der Abfälle von ihrer Entstehung oder Anlieferung bis zu ihrer Verwertung oder Beseitigung zu überwachen,

2.die Einhaltung der Vorschriften dieses Gesetzes und der auf Grund dieses Gesetzes erlassenen Rechtsverordnungen sowie die Erfüllung erteilter Bedingungen und Auflagen zu überwachen, insbesondere durch Kontrolle der Betriebsstätte und der Art und Beschaffenheit der bewirtschafteten Abfälle in regelmäßigen Abständen, Mitteilung festgestellter Mängel und Vorschläge zur Mängelbeseitigung,

3.die Betriebsangehörigen aufzuklären

a)über Beeinträchtigungen des Wohls der Allgemeinheit, welche von den Abfällen oder der abfallwirtschaftlichen Tätigkeit ausgehen können,

b)über Einrichtungen und Maßnahmen zur Verhinderung von Beeinträchtigungen des Wohls der Allgemeinheit unter Berücksichtigung der für die Vermeidung, Verwertung und Beseitigung von Abfällen geltenden Gesetze und Rechtsverordnungen,

4.hinzuwirken auf die Entwicklung und Einführung

a)umweltfreundlicher und abfallarmer Verfahren, einschließlich Verfahren zur Vermeidung, ordnungsgemäßen und schadlosen Verwertung oder umweltverträglichen Beseitigung von Abfällen,

b)umweltfreundlicher und abfallarmer Erzeugnisse, einschließlich Verfahren zur Wiederverwendung, Verwertung oder umweltverträglichen Beseitigung nach Wegfall der Nutzung, sowie

5.bei der Entwicklung und Einführung der in Nummer 4 Buchstabe a und b genannten Verfahren mitzuwirken, insbesondere durch Begutachtung der Verfahren und Erzeugnisse unter den Gesichtspunkten der Abfallbewirtschaftung,

6.bei Anlagen, in denen Abfälle anfallen, verwertet oder beseitigt werden, zudem auf Verbesserungen des Verfahrens hinzuwirken.

§ 1 Abfallwirtschaftliche Ziele

§ 1 Zielsetzung und Anwendungsbereich

§ 3 Gefahrenklassen

§ 4 Einstufung, Kennzeichnung, Verpackung

§ 7 Grundpflichten

1.Gestaltung geeigneter Verfahren und technischer Steuerungseinrichtungen von Verfahren, den Einsatz emissionsfreier oder emissionsarmer Verwendungsformen sowie Verwendung geeigneter Arbeitsmittel und Materialien nach dem Stand der Technik,

2.Anwendung kollektiver Schutzmaßnahmen technischer Art an der Gefahrenquelle, wie angemessene Be- und Entlüftung, und Anwendung geeigneter organisatorischer Maßnahmen,

3.sofern eine Gefährdung nicht durch Maßnahmen nach den Nummern 1 und 2 verhütet werden kann, Anwendung von individuellen Schutzmaßnahmen, die auch die Bereitstellung und Verwendung von persönlicher Schutzausrüstung umfassen.

1.die persönliche Schutzausrüstung an einem dafür vorgesehenen Ort sachgerecht aufbewahrt wird,

2.die persönliche Schutzausrüstung vor Gebrauch geprüft und nach Gebrauch gereinigt wird und

3.schadhafte persönliche Schutzausrüstung vor erneutem Gebrauch ausgebessert oder ausgetauscht wird.

§ 14 Unterrichtung und Unterweisung der Beschäftigten

a)Hygienevorschriften,

b)Informationen über Maßnahmen, die zur Verhütung einer Exposition zu ergreifen sind,

c)Informationen zum Tragen und Verwenden von persönlicher Schutzausrüstung und Schutzkleidung,

3.Informationen über Maßnahmen, die bei Betriebsstörungen, Unfällen und Notfällen und zur Verhütung dieser von den Beschäftigten, insbesondere von Rettungsmannschaften, durchzuführen sind.

1.Zugang haben zu allen Informationen nach Artikel 35 der Verordnung (EG) Nr. 1907/2006 über die Stoffe und Gemische, mit denen sie Tätigkeiten ausüben, insbesondere zu Sicherheitsdatenblättern, und

2.über Methoden und Verfahren unterrichtet werden, die bei der Verwendung von Gefahrstoffen zum Schutz der Beschäftigten angewendet werden müssen.

§ 13 Betriebsstörungen, Unfälle und Notfälle

1.betroffene Beschäftigte über die durch das Ereignis hervorgerufene Gefahrensituation im Betrieb zu informieren,

2.die Auswirkungen des Ereignisses zu mindern und

3.wieder einen normalen Betriebsablauf herbeizuführen.

1.eine Vorabmitteilung über einschlägige Gefahren bei der Arbeit, über Maßnahmen zur Feststellung von Gefahren sowie über Vorsichtsmaßregeln und Verfahren, damit die Notfalldienste ihre eigenen Abhilfe- und Sicherheitsmaßnahmen vorbereiten können,

2.alle verfügbaren Informationen über spezifische Gefahren, die bei einem Unfall oder Notfall auftreten oder auftreten können, einschließlich der Informationen über die Verfahren nach den Absätzen 1 bis 4.

Der Sicherheitsbeauftragte (SiBe) ist eine von einem Unternehmen- unter Beteiligung des BR - schriftlich bestellte Person, die den Unternehmer, die Führungskräfte, die Fachkraft für Arbeitssicherheit, den Betriebsarzt und die Kollegen darin unterstützt, Unfälle, berufsbedingte Krankheiten und Gesundheitsgefahren zu vermeiden. Der Sicherheitsbeauftragte ist Mitarbeiter des Unternehmens. 

In Unternehmen mit regelmäßig mehr als 20 Beschäftigten hat der Unternehmer unter Beteiligung des Betriebsrats einen oder mehrere Sicherheitsbeauftragte (SiBe) unter Berücksichtigung der im Unternehmen für die Beschäftigten bestehenden Unfall- und Gesundheitsgefahren und der Zahl der Beschäftigten zu bestellen. In Unternehmen mit besonderen Gefahren für Leben und Gesundheit kann der Unfallversicherungsträger anordnen, dass Sicherheitsbeauftragte auch dann zu bestellen sind, wenn die obige Mindestbeschäftigtenzahl nicht erreicht wird. Für Unternehmen mit geringen Gefahren für Leben und Gesundheit kann der Unfallversicherungsträger die Zahl 20 in seiner Unfallverhütungsvorschrift erhöhen (§ 22 Abs. 1 SGB VII). Die Berufsgenossenschaftliche Vorschrift BGV A1 legt die erforderlichen Mindestzahlen für die Bestellung von Sicherheitsbeauftragten fest.

Sicherheitsbeauftragte sind Arbeitnehmer des Unternehmens. Sie sollen Orts-, Fach- und Sachkenntnisse besitzen. Ihre Aufgabe ist es insbesondere, sich von dem Vorhandensein und der ordnungsgemäßen Benutzung der vorgeschriebenen Schutzeinrichtungen und persönlichen Schutzausrüstungen zu überzeugen und auf Unfall- und Gesundheitsgefahren für die Arbeitnehmer aufmerksam zu machen. Sie sollen die Beschäftigten auf Unfall- und Gesundheitsgefahren aufmerksam machen, haben ihnen gegenüber aber keine unmittelbare Weisungsbefugnis (§ 22 Abs. 2 SGB VII). Die Sicherheitsbeauftragten dürfen wegen der Erfüllung der ihnen übertragenen Aufgaben nicht benachteiligt werden  (§ 22 Abs. 3 SGB VII). Der Sicherheitsbeauftragte des Unternehmens ist Mitglied im Arbeitsschutzausschuss (§ 11 S. 2 ASiG).

Die Funktion des Sicherheitsbeauftragten in Unternehmen ist ausschließlich ehrenamtlich, die Entlohnung wird mit dem Gehalt in seiner eigentlichen Funktion abgegolten. In keinem Fall ist seine Funktion mit der einer Fachkraft für Arbeitssicherheit oder der eines Betriebsarztes zu vergleichen.
Um den optimalen Sicherheitsaspekt in einem Unternehmen zu gewährleisten, können Vorgesetzte nicht als Sicherheitsbeauftragte eingesetzt werden.
Der Beauftragte für Sicherheit kann sich bei der für das Unternehmen zuständigen Verwaltungs- und Berufsgenossenschaft in der Regel kostenlos aus- und fortbilden lassen. Die Berufsgenossenschaft stellt auch kostenlose Informationsmaterialien zur Verfügung, um den Sicherheitsbeauftragten bei seiner Tätigkeit im Unternehmen zu unterstützen.

§ 1 Geltungsbereich

§ 3 Bestellung von Gefahrgutbeauftragten

.....

§ 1 Bestellung von Gefahrgutbeauftragten

(1) Unternehmer und Inhaber eines Betriebes, die an der Beförderung gefährlicher Güter mit Eisenbahn-, Straßen-, Wasser- oder Luftfahrzeugen beteiligt sind, müssen mindestens einen Gefahrgutbeauftragten schriftlich bestellen. Werden mehrere Gefahrgutbeauftragte bestellt, so sind deren Aufgaben nach Anlage 1 schriftlich festzulegen.

(2) Die Funktion des Gefahrgutbeauftragten kann

1. von einem Mitarbeiter des Unternehmens oder Betriebes, dem auch andere Aufgaben übertragen sein können,
2. von einer dem Unternehmen oder Betrieb nicht angehörenden Person oder
3. vom Unternehmer oder Inhaber eines Betriebes

wahrgenommen werden. Nimmt der Unternehmer oder Inhaber eines Betriebes die Funktion des Gefahrgutbeauftragten selbst wahr, ist eine schriftliche Bestellung nicht erforderlich.

§ 1 Anwendungsbereich

§ 2 Grundsätze der Anzeigenerstattung

§ 4 Zusätzliche Daten bei Unfallanzeigen

1.die Unternehmensnummer des anzeigenden Unternehmens,

2.den Unfallzeitpunkt,

3.den Unfallort und dessen Postleitzahl,

4.bei Eintritt: den Tod der versicherten Person,

5.eine ausführliche Schilderung des Unfallhergangs,

6.die Benennung der Art der Verletzung und der verletzten Körperteile,

7.die Benennung von vorhandenen Zeuginnen oder Zeugen des Unfallgeschehens und

8.den Namen und die Anschrift der erstbehandelnden Ärztin oder des erstbehandelnden Arztes oder des behandelnden Krankenhauses

1.den Namen und die Anschrift des Unternehmens, bei dem die versicherte Person zum Zeitpunkt des Unfalls beschäftigt war,

2.den Namen und die Anschrift der Betriebsstätte, auf der sich der Unfall ereignet hat,

3.die Angabe, seit wann, im Rahmen welcher Tätigkeit und in welchem Teil des Unternehmens die versicherte Person zum Zeitpunkt des Unfalls tätig war,

4.Angaben dazu, ob die versicherte Person zum Zeitpunkt des Unfalls

a)Leiharbeiterin oder Leiharbeiter war,

b)Auszubildende oder Auszubildender war,

c)eine geringfügige Beschäftigung ausgeübt hat,

d)Unternehmerin oder Unternehmer, Gesellschafterin oder Gesellschafter, Geschäftsführerin oder Geschäftsführer war oder

e)mit der Unternehmerin oder dem Unternehmer verheiratet, in eingetragener Lebenspartnerschaft lebend, verwandt oder Familienangehörige oder Familienangehöriger nach § 2 Absatz 4 des Siebten Buches Sozialgesetzbuch war,

5.Angaben über das Bestehen und die Dauer eines Anspruchs auf Entgeltfortzahlung zum Zeitpunkt des Unfalls,

6.die Angabe, ob der Unfall während einer Homeoffice-Tätigkeit eingetreten ist,

7.Angaben über den Beginn und das Ende der Arbeitszeit der versicherten Person am Tag des Unfalls,

8.die Angabe, ob und wann die versicherte Person die Tätigkeit aufgrund des Unfalls beendet hat,

9.die Angabe, ob und wann die versicherte Person die Tätigkeit nach dem Unfall wiederaufgenommen hat,

9a.die Angabe, ob ein Gewaltereignis (zum Beispiel körperlicher Übergriff, sexueller Übergriff) vorgelegen hat und

10.den Namen des Betriebsrats- oder des Personalratsmitgliedes, welches von der Anzeige vor ihrer Absendung Kenntnis genommen hat.

............

Abgrenzung zu den Berufsgenossenschaften 

Die ebenfalls auf dem Feld der Arbeitssicherheit und des beruflichen Gesundheitsschutzes tätigen Berufsgenossenschaften befassen sich vorrangig mit den Belangen der bei ihnen versicherten Arbeitnehmer und ihrer Arbeitsbedingungen. Demgegenüber erfasst das Arbeitsfeld der Gewerbeaufsicht darüber hinaus den Schutz der breiten Öffentlichkeit

Die Aushangpflicht betrifft grundsätzlich Arbeitnehmerschutzgesetze, die den Arbeitnehmern bekannt gemacht werden sollen. Ziel der Aushangpflicht ist, den Arbeitnehmer über die für ihn geltenden Schutzvorschriften zu informieren. Auszuhängen sind daher vom Arbeitgeber nur die Gesetze, in dessen Schutzbereich die jeweiligen Arbeitnehmer fallen. So muss beispielsweise die Röntgenverordnung (RöV) nur dann ausgehängt werden, wenn der Arbeitgeber eine Röntgeneinrichtung betreibt.

Zu beachten ist, dass aushangpflichtige Gesetze für die Arbeitnehmer leicht zugänglich und lesbar sind. Hier bietet sich ein Aushang am "Schwarzen Brett" an. Wird ein aushangpflichtiges Gesetz erheblich geändert, muss der Arbeitgeber die neue Fassung des ganzen Gesetzes aushängen bzw. auslegen.

Die wichtigsten aushangpflichtigen Gesetze nach IHK Hamburg sind:

• Allgemeines Gleichbehandlungsgesetz (AGG) + § 61 b Arbeitsgerichtsgesetz (ArbGG) - lt. § 12 Abs. 5 aushangpflichtig; die Bekanntmachungspflicht umfasst zusätzlich Informationen über die für die Behandlung von Beschwerden nach § 13 AGG zuständigen Stelle
• §§ 611 bis 630 BGB (Dienstvertrag)
• Arbeitszeitgesetz (ArbZG) - lt. § 16 aushangpflichtig
• Jugendarbeitsschutzgesetz (JArbSchG) - lt. § 47 aushangpflichtig, ab einem jugendlichen Beschäftigten.
• Ladenschlussgesetz (LadSchlG) - lt. § 21 aushangpflichtig, innerhalb der Verkaufsstelle und ab einem Beschäftigten - in Niedersachsen lt. § 1 Abs. III NLöffVZG nicht anzuwenden
• Mutterschutzgesetz (MuSchG) - lt. § 26 aushangpflichtig, wenn mehr als drei Frauen beschäftigt sind
• Mindestlohngesetz
• Heimarbeitsgesetz (HAG)
• Arbeitsgerichtsgesetz (ArbGG)
• Arbeitssicherheitsgesetz (ASiG)
• Arbeitsstättenverordnung (ArbStättV)
• Arbeitszeitgesetz
• Bundesurlaubsgesetz (BUrlG)
• Entgeltfortzahlungsgesetz (EFZG)
• Kündigunsschutzgesetz (KSchG)
• Nachweisgesetz (NachweisG)
• Teilzeit- und Befristungsgesetz
• Baustellenverordung (BaustellV)
• Betriebssicherheitsverordnung (BetrSichV)
• Betriebsverfassungsgesetz
• Bundesdatenschutzgesetzt (BDSG und EU-DSGVO)
• Familienpflegezeitgesetz
• Geschäftsgeheimnisgesetz
• Infektionsschutzgesetz
  
  

• Unfallverhütungsvorschriften (UVV) - DGUV Vorschrift 1 „Grundsätze der Prävention“ zugänglich (DGUV Vorschrift 1 „Grundsätze der Prävention“)
• Strahlenschutzverordnung (StrlSchV) - lt. § 35 aushangpflichtig
• Röntgenverordnung (RöV) - lt. § 18 aushangpflichtig, bei Betreiber einer Röntgeneinrichtung
• Biostoffverordnung (BioStoffV) – lt. § 12 Abs. 1
• Gefahrenstoffverordnung (GefStoffV) – lt. 7 Abs. 8, der Arbeitgeber muss ein Verzeichnis über die im Betrieb verwendeten Gefahrenstoffe führen, in dem auf entsprechende Sicherheitsdatenblätter verwiesen wird.
• Arbeitgeber, die regelmäßig mehr als drei Jugendliche beschäftigen, haben einen Aushang über Beginn und Ende der regelmäßigen täglichen Arbeitszeit und der Pausen der Jugendlichen angeeigneter Stelle im Betrieb anzubrigen, § 48.
• Im Betrieb geltende Tarifverträge, § 8 TVG.
• Im Betrieb geltende Betriebsvereinbarungen, § 77 Abs. 2 S. 3 BetrVG.
• Bei Heimarbeit ergeben sich weitere Aushangpflichten aus §§ 6 S. 2, 8 und 19 Abs. 2 HAG
• Infektionsschutzgesetz
• Fünftes Vermögensbildungsgesetz § 11 Abs. 4 VermBG.
• Wahlordnung zum Betriebsrat, Schwerbehindertenvertretung, Sprecherausschuss usw.
• Betriebsvereinbarungen § 77 Abs. 2 BetrVG

§ 3 Gefährdungsbeurteilung

1.1Anforderungen an Konstruktion und Festigkeit von Gebäuden

1.2Abmessungen von Räumen, Luftraum

1.3Sicherheits- und Gesundheitsschutzkennzeichnung

1.4Energieverteilungsanlagen

1.5Fußböden, Wände, Decken, Dächer

1.6Fenster, Oberlichter

1.7Türen, Tore

1.8Verkehrswege

1.9Fahrtreppen, Fahrsteige

1.10Laderampen

1.11Steigleitern, Steigeisengänge

2.1Schutz vor Absturz und herabfallenden Gegenständen, Betreten von Gefahrenbereichen

2.2Maßnahmen gegen Brände

2.3Fluchtwege und Notausgänge

3.1Bewegungsfläche

3.2Anordnung der Arbeitsplätze

3.3Ausstattung

3.4Beleuchtung und Sichtverbindung

3.5Raumtemperatur

3.6Lüftung

3.7Lärm

4.1Sanitärräume

4.2Pausen- und Bereitschaftsräume

4.3Erste-Hilfe-Räume

4.4Unterkünfte

 

5.1Arbeitsplätze in nicht allseits umschlossenen Arbeitsstätten und Arbeitsplätze im Freien

5.2Baustellen

6.1Allgemeine Anforderungen an Bildschirmarbeitsplätze

6.2Allgemeine Anforderungen an Bildschirme und Bildschirmgeräte

6.3Anforderungen an Bildschirmgeräte und Arbeitsmittel für die ortsgebundene Verwendung an Arbeitsplätzen

6.4Anforderungen an tragbare Bildschirmgeräte für die ortsveränderliche Verwendung an Arbeitsplätzen

6.5Anforderungen an die Benutzerfreundlichkeit von Bildschirmarbeitsplätzen

1.sie müssen vom Bildschirm getrennte Einheiten sein,

2.sie müssen neigbar sein,

3.die Oberflächen müssen reflexionsarm sein,

4.die Form und der Anschlag der Tasten müssen den Arbeitsaufgaben angemessen sein und eine ergonomische Bedienung ermöglichen,

5.die Beschriftung der Tasten muss sich vom Untergrund deutlich abheben und bei normaler Arbeitshaltung gut lesbar sein.

Die Angebotsuntersuchung der Augen und des Sehvermögens - Details s. (ArbMedVV) - hier Auszug:

1.Tätigkeiten, die das Tragen von Atemschutzgeräten der Gruppen 2 und 3 erfordern;

2.Tätigkeiten in Tropen, Subtropen und sonstige Auslandsaufenthalte mit besonderen klimatischen Belastungen und Infektionsgefährdungen. Abweichend von § 3 Abs. 2 Satz 1 in Verbindung mit § 7 dürfen auch Ärzte oder Ärztinnen beauftragt werden, die zur Führung der Zusatzbezeichnung Tropenmedizin berechtigt sind.

Die Angebotsvorsorge enthält das Angebot auf eine angemessene Untersuchung der Augen und des Sehvermögens. Erweist sich auf Grund der Angebotsvorsorge eine augenärztliche Untersuchung als erforderlich, so ist diese zu ermöglichen. § 5 Abs. 2 gilt entsprechend für Sehbeschwerden. Den Beschäftigten sind im erforderlichen Umfang spezielle Sehhilfen für ihre Arbeit an Bildschirmgeräten zur Verfügung zu stellen, wenn Ergebnis der Angebotsvorsorge ist, dass spezielle Sehhilfen notwendig und normale Sehhilfen nicht geeignet sind;

Art. 1 DSGVO Gegenstand und Ziele

1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

Art. 4 DSGVO Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. ¹„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. ²Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
16. .............
    

Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten

1. Personenbezogene Daten müssen
   1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
   2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
   3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
   4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
   5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
   6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung

1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Art. 7 DSGVO Bedingungen für die Einwilligung

1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können[eigene Anm.: Einwilligung muss nicht mehr zwingend schriftlich sein], dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
2. ¹Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. ²Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
3. ¹Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. ²Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. ³Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. ⁴Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Sind Einwilligung über Opt-Out-Lösungen noch möglich?

Die Einwilligung und alle im Rahmen des Einwilligungsprozesses kommunizierten Informationen müssen in einer verständlichen Sprache übermittelt und leicht zugänglich sein. Durch eine eindeutige, unmissverständliche Willensbekundung kann der Einwilligende dann die Einwilligung erteilen, Art. 4 Nr. 11 DSGVO. Bislang konnte dies – so die BGH-Rechtsprechung – auch durch bloße Opt-Out Erklärungen erfolgen.

Die DSGVO schränkt diese Praxis jedoch ein. Zwar ist grundsätzlich jede Form von Erklärung oder Handlung wirksam, aus der sich eindeutig ergibt, dass die Person mit der Verarbeitung der Daten einverstanden ist. In Erwägungsgrund 32  führt der europäische Gesetzgeber jedoch aus, dass Stillschweigen, bereits angekreuzte Kästchen (Opt-Out) oder Untätigkeit der betroffenen Personen ausdrücklich keine Einwilligung darstellen. Ihnen fehlt das Element des eindeutigen, bestätigenden Einverständnisses.

Es besteht daher künftig keine Möglichkeit mehr Einwilligungen über sog. Opt-Outs einzuholen.

Q.: https://www.thomaskoebrich.de/einwilligung-nach-der-dsgvo/

Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten

1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
2. Absatz 1 gilt nicht in folgenden Fällen:
   1. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, ens sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
   2. die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
   3. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
   4. die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
   5. die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
   6. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
   7. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
   8. die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
   9. die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
   10. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
3. Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
4. Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist

Art. 12 DSGVO Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

1. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
   1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
   2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
   3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
   4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
   5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
   6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
   1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
   2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
   3. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
   4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
   5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
   6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
3. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
4. Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

§ 32 BDSG Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

1. Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung
   1. eine Weiterverarbeitung analog gespeicherter Daten betrifft, bei der sich der Verantwortliche durch die Weiterverarbeitung unmittelbar an die betroffene Person wendet, der Zweck mit dem ursprünglichen Erhebungszweck gemäß der Verordnung (EU) 2016/679 vereinbar ist, die Kommunikation mit der betroffenen Person nicht in digitaler Form erfolgt und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere mit Blick auf den Zusammenhang, in dem die Daten erhoben wurden, als gering anzusehen ist.
   2. im Fall einer öffentlichen Stelle die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
   3. die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
   4. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen oder
   5. eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden würde.
2. ¹Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. ²Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat. ³Die Sätze 1 und 2 finden in den Fällen des Absatzes 1 Nummer 4 und 5 keine Anwendung.
3. Unterbleibt die Benachrichtigung in den Fällen des Absatzes 1 wegen eines vorübergehenden Hinderungsgrundes, kommt der Verantwortliche der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes, spätestens jedoch innerhalb von zwei Wochen, nach.

Art. 14 DSGVO Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

1. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
   1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
   2. zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
   3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
   4. die Kategorien personenbezogener Daten, die verarbeitet werden;
   5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
   6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
   1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
   2. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
   3. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
   4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
   5. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
   6. aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
   7. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
3. Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
   1. unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
   2. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
   3. falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
5. Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
   1. die betroffene Person bereits über die Informationen verfügt,
   2. die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
   3. die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
   4. die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

§ 4 BDSG Videoüberwachung öffentlich zugänglicher Räume

1. ¹Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie
   1. zur Aufgabenerfüllung öffentlicher Stellen,
   2. zur Wahrnehmung des Hausrechts oder
   3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

   erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. ²Bei der Videoüberwachung von

   1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
   2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs

   gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.

2. Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.
3. ¹Die Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. ²Absatz 1 Satz 2 gilt entsprechend. ³Für einen anderen Zweck dürfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.
4. ¹Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679. ²§ 32 gilt entsprechend.
5. Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

Art. 15 DSGVO Auskunftsrecht der betroffenen Person

1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
   1. die Verarbeitungszwecke;
   2. die Kategorien personenbezogener Daten, die verarbeitet werden;
   3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
   4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
   5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
   6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
   7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
   8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
2. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
3. ¹Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. ²Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. ³Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
4. Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Art. 16 DSGVO Recht auf Berichtigung

¹Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. ²Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

Art. 17 DSGVO Recht auf Löschung ("Recht auf Vergessenwerden")

1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
2. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
3. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
   Widerspruch gegen die Verarbeitung ein.
4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

Die Datenschutzgrundverordnung sichert das Recht auf Vergessenwerden ab: Personenbezogene Daten, die für Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr benötigt werden, müssen gelöscht werden. Für Unternehmen heißt dies u.a., dass nach Ausscheiden eines Arbeitnehmers dessen Personalakten nicht unbegrenzt gespeichert bleiben dürfen.

Vattenfall muss hohe Strafe zahlen

Stand: 24.09.2021 06:00 Uhr

Vattenfall hat mithilfe seiner Kundendatei systematisch preisbewusste Verbraucher aussortiert, die gerne ihren Stromvertrag wechseln. Dafür muss der Energieversorger nun 900.000 Euro Bußgeld zahlen.

Von Lea Busch und Peter Hornung, NDR

Sie heißen branchenintern "Bonushopper", und sie sind der Horror für viele Energieversorger: Preisbewusste Kundinnen und Kunden, die häufig ihre Strom- und Gasunternehmen wechseln, um günstige Verträge zu nutzen und eben Boni zu kassieren.

Genau gegen diese Menschen richtete sich das, was Vattenfall getan hat. Zwischen August 2018 und Dezember 2019 glich das Unternehmen nach Informationen von NDR und "Süddeutscher Zeitung" routinemäßig Daten potenzieller Neukunden mit bereits beim Unternehmen vorhandenen älteren Kundendaten ab, um Bonushopper gezielt auszusortieren. Betroffen waren rund 500.000 Kunden. Der amtierende Hamburgische Landesdatenschutzbeauftragte Ulrich Kühn verhängte jetzt in diesem Zusammenhang ein Bußgeld in Hohe von gut 900.000 Euro.

Bußgeld durch Kooperation gesenkt

Das Vorgehen von Vattenfall war recht simpel: Wer früher schon einmal bei dem Unternehmen Kunde war, in der Zwischenzeit gewechselt hatte und dann erneut einen günstigen Vertrag bei Vattenfall haben wollte, wurde abgelehnt. Der Hintergrund: Energieversorger dürfen auch die Daten ehemaliger Kunden über eine lange Zeit speichern, bis zu zehn Jahre - aber eigentlich nur fürs Finanzamt und ähnliche Zwecke. Sie dafür zu nutzen, "wechselfreudige" Verbraucher zu identifizieren, ist nicht zulässig - jedenfalls nicht, ohne sich zuvor die Zustimmung der Kunden einzuholen.

Genau das habe Vattenfall nicht getan, so Datenschützer Kühn: "Da dies rund 500.000 Fälle betraf, war die Verhängung eines Bußgelds angezeigt." Vattenfall habe in dem Verfahren umfassend mit den Datenschützern kooperiert und den "intransparenten Datenabgleich" unmittelbar nach dem ersten Tätigwerden der Datenschützer gestoppt. "Deswegen war das Bußgeld deutlich zu reduzieren. Die dennoch verhängte Höhe sollte allen Unternehmen eine Warnung sein, die gesetzlichen Transparenzpflichten nicht zu vernachlässigen. Insbesondere bei einer Vielzahl von Betroffenen sind wie in dem vorliegenden Fall hohe Bußgelder klar angezeigt", so Hamburgs oberster Datenschützer.

Warnung bereits vor gut einem Jahr

Pikant: Genau vor einer solchen Möglichkeit, Bonushopper auszusortieren, hatten Daten- und Verbraucherschützer bereits vor gut einem Jahr gewarnt. Wie NDR und "SZ" im September vergangenen Jahres berichteten, hatten die Wirtschaftsauskunfteien Schufa und "Crif Bürgel" Datenbanken geplant, mit denen sich wechselfreudige Kundinnen und Kunden hätten identifizieren lassen.

Vattenfall sei schon zuvor aufgefallen, sagt Udo Sieverding von der Verbraucherzentrale Nordrhein-Westfalen: "Bei den Verbraucherzentralen haben sich damals viele Kunden beschwert, die früher mal bei Vattenfall und jetzt wieder rüberwechseln wollten und das abgelehnt wurde. Da lag die Vermutung natürlich nahe, dass es da einen Zusammenhang gibt, die Kunden es aber nicht wussten, dass sie da noch in der Datenbank gespeichert sind." Verbraucherschützer Sieverding begrüßte, dass nun ein "empfindliches Bußgeld" verhängt wurde: "Wir hoffen, dass das auch ein Signal an die Branche ist."

Prompte Reaktion von Vattenfall

Eine halbe Stunde nach einer schriftlichen Anfrage von NDR und "SZ" veröffentlichte Vattenfall am Donnerstagnachmittag eine Pressemitteilung, in der es hieß, man habe die "missbräuchliche Ausnutzung bonus-relevanter Verträge" verhindern wollen. Die Kundendaten der Vattenfall Europe Sales GmbH seien "zu keinem Zeitpunkt gefährdet oder Missbrauch ausgesetzt (gewesen), lediglich die Transparenz war aus Sicht der Behörde zu verbessern."

Die Datenschutzbehörde habe dem Unternehmen gegenüber betont, "dass es sich um keinen schwerwiegenden und darüber hinaus (um einen) erstmaligen Verstoß handele". Vattenfall sieht sich indes darin bestätigt, auch künftig Bonushopper aussortieren zu dürfen. Mit der Datenschutzbehörde hat man sich darauf geeinigt, dass man für den Abgleich für Neu- wie auch Bestandskunden vorher aber die Erlaubnis der Verbraucher einhole. Wer also einen Vertrag mit Bonus möchte, muss dem Datenabgleich zustimmen. Wer hingegen ablehnt, bekommt keinen Bonus.

Q.: https://www.tagesschau.de/investigativ/ndr/vattenfall-wechselkunden-101.html

Art. 18 DSGVO Recht auf Einschränkung der Verarbeitung

1. Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
   1. die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
   2. die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
   3. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
   4. die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
2. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
3. Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

Art. 19 DSGVO Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

¹Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. ²Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.

Art. 20 DSGVO Recht auf Datenübertragbarkeit

1. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
   1. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
   2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
2. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
3. ¹Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. ²Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
4. Das Recht gemäß Absatz 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Art. 21 DSGVO Widerspruchsrecht

1. ¹Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. ²Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
2. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
3. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
4. Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.

Art. 22 DSGVO Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
2. Absatz 1 gilt nicht, wenn die Entscheidung
   1. für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
   2. aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
   3. mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

§ 30 BDSG Verbraucherkredite

Art. 24 DSGVO Verantwortung des für die Verarbeitung Verantwortlichen

1. ¹Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. ²Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
2. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
3. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.

Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
2. ¹Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. ²Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. ³Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Art. 28 DSGVO Auftragsverarbeiter

(1)   Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2)   Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(3)   Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

(4)   Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

(5)   Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.

(6)   Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.

(7)   Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(8)   Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(9)   Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(10)   Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

Artikel 29  DSGVO Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten

1. ¹Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. ²Dieses Verzeichnis enthält sämtliche folgenden Angaben:
   1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
   2. die Zwecke der Verarbeitung;
   3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
   4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
   5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
   6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
   7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, das Folgendes enthält:
   1. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
   2. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
   3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
   4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
4. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Art. 32 DSGVO Sicherheit der Verarbeitung

1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
   1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
   2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
   3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
   4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

 § 64 BDSG Anforderungen an die Sicherheit der Datenverarbeitung (TOM = techn. organisatorische Maßnahmen)

Art. 33 DSGVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

1. ¹Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. ²Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
   1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
   2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
   3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
   4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
4. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
5. ¹Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. ²Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.

Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.
3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
   1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
   2. der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
   3. die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
4. Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

Art. 35 DSGVO Datenschutz-Folgenabschätzung

1. ¹Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. ²Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
2. Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
   1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
   2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
   3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
4. ¹Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. ²Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
5. ¹Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. ²Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
7. Die Folgenabschätzung enthält zumindest Folgendes:
   1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
   2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
   3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
   4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Art. 37 DSGVO Benennung eines Datenschutzbeauftragten

1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
   1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
   2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
   3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
2. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
4. ¹In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. ²Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit

§38 BDSG Datenschutzbeauftragte nichtöffentlicher Stellen

Art. 38 DSGVO Stellung des Datenschutzbeauftragten

1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
3. ¹Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. ²Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. ³Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
4. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
5. Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
6. ¹Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. ²Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

§ 6 BDSG Stellung

1. Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
2. Die öffentliche Stelle unterstützt die Datenschutzbeauftragte oder den Datenschutzbeauftragten bei der Erfüllung ihrer oder seiner Aufgaben gemäß § 7, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung ihres oder seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
3. ¹Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte bei der Erfüllung ihrer oder seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. ²Die oder der Datenschutzbeauftragte berichtet unmittelbar der höchsten Leitungsebene der öffentlichen Stelle. ³Die oder der Datenschutzbeauftragte darf von der öffentlichen Stelle wegen der Erfüllung ihrer oder seiner Aufgaben nicht abberufen oder benachteiligt werden.
4. ¹Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. ²Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. ³Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
5. ¹Betroffene Personen können die Datenschutzbeauftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Verordnung (EU) 2016/679, diesem Gesetz sowie anderen Rechtsvorschriften über den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen. ²Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.
6. ¹Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Beschäftigten zu. ²Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. ³Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlagnahmeverbot.

Art. 39 DSGVO Aufgaben des Datenschutzbeauftragten

1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
   1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
   2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
   3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
   4. Zusammenarbeit mit der Aufsichtsbehörde;
   5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.