Autoren:
Christoph Licht, LL.M., Datenschutzbeauftragter, Doktorand und wissenschaftlicher Mitarbeiter der Fakultät Wirtschaftsrecht, Hochschule Schmalkalden/Universität Chemnitz und Namenspartner von Licht und Partner – Wirtschaftsjuristen
Stefan Oetzel, LL.B., Datenschutzbeauftragter, Masterstudent Fachbereich Wirtschaft der Hochschule Anhalt
Abstract:
Der Artikel befasst sich mit der Frage, inwieweit ein einzelner Arzt bzw. eine Einzelpraxis nach den aktuell geltenden Datenschutzvorschriften verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Im Schwerpunkt wird dies anhand der Tatbestände des Art. 37 DSGVO und der des § 38 BDSG untersucht und im Ergebnis die Frage beantwortet sowie eine Empfehlung abgegeben.
Lesedauer: 14 Minuten
Einleitung
In der Praxis und in der einschlägigen Literatur bestehen unterschiedliche Ansichten, ob und wenn ja, wann ein einzelner praktizierender Arzt einen Datenschutzbeauftragten benennen muss. Der folgende Beitrag beschäftigt sich – unter Berücksichtigung der unterschiedlichen Ansichten – de jure mit dieser Thematik.
I. Benennungspflicht nach DSGVO und BDSG n.F.
Die Benennungspflicht eines Datenschutzbeauftragten besteht i. S. d. Art. 37 Abs. 1 lit. c DSGVO dann, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Der deutsche Gesetzgeber hat von der sich in Art. 37 Abs. 4 Satz 1 DSGVO befindenden Öffnungsklausel Gebrauch gemacht und in anderen als den in Art. 37 Abs. 1 DSGVO genannten Fällen ergänzende Voraussetzungen in § 38 Abs. 1 BDSG normiert, wann eine Benennung eines Datenschutzbeauftragten für den Verantwortlichen oder den Auftragsverarbeiter zur Pflicht wird[1]. Konkret ergibt sich aus dem nationalen Recht i. S. d § 38 Abs. 1 Satz 1 BDSG eine Benennungspflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind[2]. Des Weiteren besteht nach § 38 Abs. 1 Satz 2 BDSG – unabhängig dieser Personengrenze – eine Benennungspflicht, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig ist oder bei einer geschäftsmäßigen Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung[3].
II. Verhältnis zwischen Art. 37 DSGVO und § 38 BDSG n. F.
Der deutsche Gesetzgeber hat den Vorrang der DSGVO gegenüber dem BDSG in § 1 Abs. 5 BDSG normiert und in § 38 Abs. 1 Satz 1 BDSG klargestellt, dass die Regelungen aus § 38 Abs. 1 BDSG lediglich eine ergänzende Funktion zu Art. 37 Abs. 1 lit. c DSGVO besitzt. Insofern legt § 38 BDSG nur für weitere – über die in Art. 37 Abs. 1 DSGVO hinausgehenden – Situationen eine Pflicht zur Benennung eines Datenschutzbeauftragten fest, was zudem auch im Rahmen der Ermächtigung des Verordnungsgebers ist (Art. 37 Abs. 4 Satz 1 DSGVO)[4]. Eine speziellere Regelung „lex specialis“ kann in § 38 BDSG jedenfalls nicht gesehen werden. Zwar hat sich in Bezug auf den betrieblichen Datenschutzbeauftragten für Unternehmen letztendlich das deutsche Konzept durchgesetzt, allerdings gilt dieses dann nicht, wenn die Verantwortlichen in ihrer Kerntätigkeit eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO durchführen[5]. Das bedeutet, dass für die Benennung eines Datenschutzbeauftragten in einer Arztpraxis es keine Rolle spielt, ob der Arzt mindestens regelmäßig 20 weitere Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind, beschäftigt oder er alleine ist, wenn seine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO liegt[6]. Ist dies der Fall, dann ist die nationale Regelung des § 38 Abs. 1 BDSG nicht anwendbar. Verdeutlicht wird dies vor allem aus dem Wortlaut des Art. 37 Abs. 4 Satz 1 DSGVO, wo der nationale Gesetzgeber nur in „anderen als den in Absatz 1 genannten Fällen“ berechtigt ist, ergänzende Voraussetzungen zu benennen[7].
III. Voraussetzungen des Art.37 Abs. 1 lit. c DSGVO
Insofern ist zu prüfen, inwieweit sich ein einzelner Arzt unter den Fall des Art. 37 Abs. 1 lit. c DSGVO subsumieren lässt. Für eine Benennungspflicht i. S. d. Art. 37 Abs. 1 lit. c DSGVO kommt es – wie oben bereits erwähnt – darauf an, dass bei einem Arzt die Kerntätigkeit in der umfangreichen Verarbeitung solcher besonders schützenswerten personenbezogenen Daten i. S. d. Art. 9 Abs. 1 DSGVO liegt[8].
1. Besondere Kategorien personenbezogener Daten; Art. 9 Abs. 1 DSGVO
Zu den besonderen Kategorien personenbezogener Daten gehören insbesondere nach Art. 9 Abs. 1 DSGVO Gesundheitsdaten. Gesundheitsdaten sind gemäß Art. 4 Nr. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen[9]. Aus Erwägungsgrund 35 DSGVO ergibt sich eine Konkretisierung, wonach Gesundheitsdaten solche sind, aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen, beispielsweise solche Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person[10]. Das ein Arzt solche Daten verarbeitet, steht außer Frage[11].
2. Kerntätigkeit
Für eine Benennungspflicht i. S. d. Art. 37 Abs. 1 lit. c DSGVO kommt es nicht alleinig darauf an, dass solche Daten überhaupt verarbeitet werden, sondern kumulativ darauf, dass diese Verarbeitung von besonderen Kategorien personenbezogener Daten auch das Kerngeschäft des Verantwortlichen, in diesem Fall des Arztes ist. Nach Erwägungsgrund 97 Satz 1 DSGVO bezieht sich im privaten Sektor die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Hiermit sind Tätigkeiten gemeint, die für die Umsetzung der Unternehmensstrategie entscheidend sind und nicht bloß routinemäßige Verwaltungsaufgaben darstellen[12]. Ziel des Arztes ist es gerade, Menschen gesund zu machen. Für eine aussagekräftige Diagnose sowie in den Fällen der Vorsorgeuntersuchung, ob überhaupt ein gesundheitliches Problem besteht, ist eine umfassende Untersuchung und Beobachtung des Patienten, typischerweise auch über einen längeren Zeitraum, erforderlich. Diese Verarbeitung von sensiblen Daten bzw. Gesundheitsdaten i. S. d. Art. 9 Abs. 1 DSGVO stellt die eigentliche Haupttätigkeit eines Arztes dar[13]. Die Literaturmeinung ist sich hierbei weitestgehend einig und bejaht bei Ärzten die Voraussetzung der Kerntätigkeit[14].
3. Umfangreiche Verarbeitung
Des Weiteren muss für die Frage, ob Art. 37 Abs. 1 lit c DSGVO Anwendung findet, kumulativ die Voraussetzung einer „umfangreichen Verarbeitung“ erfüllt sein. Die DSGVO gibt wenige Anhaltspunkte, was unter einer „umfangreichen Verarbeitung“ zu verstehen ist. Lediglich Erwägungsgrund 91 Satz 1 und Satz 4 DSGVO macht dahingehend Vorgaben und werden von der Literatur oft zur Auslegung herangezogen[15]. Die Art.-29-Datenschutzgruppe hat darauf aufbauend in ihrem Arbeitspapier WP 243 als Auslegungshilfe eine Reihe Kriterien entwickelt, um bestimmen zu können, ob eine umfangreiche Verarbeitung vorliegt oder nicht. Bemessungsgrundlage sind die Zahl der betroffenen Personen, das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten, die Dauer oder Permanenz der Datenverarbeitungstätigkeit sowie die geografische Ausdehnung der Verarbeitungstätigkeit[16]. Zudem ergibt sich aus Erwägungsgrund 91 Satz 4 DSGVO, dass die Verarbeitung personenbezogener Daten nicht als umfangreich gelten sollte, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder einen Rechtsanwalt erfolgt[17].
IV. Anwendbarkeit des Erwägungsgrund 91 auf Art. 37 DSGVO?
Es stellt sich jedoch die Frage, ob und inwieweit Erwägungsgrund 91 DSGVO überhaupt in Bezug zu Art. 37 Abs. 1 lit. c DSGVO anwendbar ist, denn Erwägungsgrund 91 DSGVO ist eigentlich Art. 35 DSGVO – zur Datenschutz-Folgenabschätzung – zuzuordnen[18]. Betrachtet man Art. 35 DSGVO, so heißt es dort in Abs. 3 lit. b DSGVO, dass eine Datenschutz-Folgenabschätzung in den folgenden Fällen erforderlich ist: „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10“. Dieser Wortlaut entspricht, bis auf den Begriff der „Kerntätigkeit“ Art. 37 Abs. 1 lit. c DSGVO[19] und bietet insofern einen Anhaltspunkt zur Auslegung einer umfangreichen Verarbeitung. Demnach erscheint es unschädlich, wenn dieser Wortlaut zur (ersten) Auslegung der Begrifflichkeit der „umfangreichen Verarbeitung“ herangezogen wird[20].
Ergebnis
Ist nach den Kriterien des Erwägungsgrund 91 Satz 1 DSGVO und – spezifizierend durch das Arbeitspapier WP 243 – eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gegeben, so ist die Benennung eines Datenschutzbeauftragten, nach bereits genannten Voraussetzungen, gemäß Art. 37 Abs. 1 lit. c DSGVO auch für einzelne Ärzte verpflichtend[21]. Wird eine umfangreiche Verarbeitung jedoch verneint, was für die meisten Einzelpraxen der Regelfall sein dürfte, so entfällt die Pflicht nach Art. 37 Abs. 1 lit. c DSGVO[22]. Insofern besteht im Ergebnis de jure keine Benennungspflicht nach Art. 37 Abs. 1 lit. c DSGVO für den einzelnen Arzt, bzw. die Einzelpraxis. Ist dies der Fall, kann sich jedoch eine Verpflichtung aus § 38 BDSG ergeben. Sind gemäß § 38 Abs. 1 Satz 1 BDSG mindestens 20 Personen mit der dauerhaften automatisierten Verarbeitung personenbezogener Daten betraut[23], besteht nach dieser Vorschrift grundsätzlich eine Benennungspflicht, wobei kurzzeitige Schwankungen der Personenzahl nicht berücksichtigt werden[24]. Sind es weniger als 20 Personen, kann jedoch die Ausnahmeregel des § 38 Abs. 1 Satz 2 BDSG in Betracht kommen[25]. Danach tritt die Benennungspflicht auch für einen einzelnen Arzt ein, wenn dieser der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO unterliegt[26].
V. Pauschalisierungsproblem
Es ist jedoch fraglich, ob die Regelungen zur „umfangreichen Verarbeitung“ pauschalisiert werden können, bzw. so im Ergebnis für einzelne Ärzte die Benennungspflicht entfällt. Hinsichtlich dessen existieren in der Literatur einige Argumente, welche gegen diese Ansätze sprechen. So wird mitunter die Meinung vertreten, dass keine Unterscheidung hinsichtlich des Umfangs der verarbeiteten Daten der Fallgruppe des Art. 37 Abs. 1 lit. c DSGVO getroffen werden sollte, da das Schutzziel der Verordnung bereits dann einsetzt, wenn Daten i. S. d. Art. 9 Abs. 1 DSGVO überhaupt verarbeitet werden[27]. Ein Krankenhaus beispielsweise kommuniziert ständig mittels der Gesundheitsdaten verarbeitenden Systeme mit Dritten, wie Patienten, Dienstleistern und Ärzten. Diese Verarbeitungstätigkeiten, welche durch ihre Außenwirkung die Eigenschaft einer Kerntätigkeit besitzen, werden gleichsam trotz der Ausnahmeregelung des Erwägungsgrundes 91 Satz 4 DSGVO von einem einzelnen Arzt durchgeführt[28]. Die Regelung des Erwägungsgrundes 91 Satz 4 DSGVO privilegiert insbesondere einzelne Ärzte in besonderem Maße. Diese Sonderstellung würde allerdings den Schutzzweck des Art. 37 Abs. 1 lit. c DSGVO unterlaufen[29], da die Vorschrift hier an das vorgesehene besondere Schutzniveau von Daten i. S. d. Art. 9 DSGVO anknüpft[30]. Warum gerade einzelne Ärzte – aufgrund geringen Umfangs der Verarbeitung – nicht unter die Benennungspflicht fallen sollen, wird auch in der überwiegenden Literatur nicht begründet. Lediglich eine beispielhafte Nennung dieser Ausnahme im Arbeitspapier WP 243 ist vorhanden[31]. Die Arbeitspapiere der Art.-29-Datenschutzgruppe sind jedoch rechtlich nicht verbindlich, sondern dienen nur als Auslegungshilfen[32]. Zudem gehe die Ansicht der Datenschutzgruppe in Bezug auf den Umfang generell zu weit. Es könne beispielsweise ein und dieselbe Datei eine große Fülle personenbezogener Daten enthalten und dabei lediglich einen Verarbeitungsvorgang darstellen. Hier würde es nach Ansicht der Art.-29-Datenschutzgruppe an einem weitreichenden Umfang fehlen ebenso bei einer schlichten Verarbeitungstätigkeit, die wiederkehrend oder von Dauer ist[33].
Weiterhin mangelt es bei den empfohlenen Faktoren des Arbeitspapiers an Konkretisierungen bzw. erkennbaren Grenzen[34]. Zudem können nicht nur die dort aufgeführten quantitativen Faktoren herangezogen werden, da diese nicht das schützenswerte Interesse des Betroffenen an seinen Daten berücksichtigen. Vielmehr sollten
qualitative und quantitative Faktoren im konkreten Einzelfall einbezogen werden. rein relative Marktbetrachtung – anhand der Faktoren des WP 243-Papiers – nimmt außerdem keinerlei Bezug zur Gefährdung des Persönlichkeitsrechts der betroffenen Person und widerspricht teilweise dem risikobasierten Ansatz der DSGVO und des betreffenden Art. 37 DSGVO[35]. Zudem können durchaus, auch entgegen der Auslegungshilfen des Erwägungsgrund 91 Satz 1 DSGVO und der des Arbeitspapiers WP 243 - kleine Praxen, vor allem durch automatisierte Tätigkeiten, eine umfangreiche Verarbeitung aufweisen. Hierbei können eine Vielzahl von Personen betroffen sein, ein großes Datenvolumen vorliegen und/oder sich ein erhebliches Spektrum an Daten in Bearbeitung befinden[36]. Schließlich sind nicht nur die ohnehin schon zahlreichen täglichen Behandlungspatienten zu betrachten, sondern auch Überweisungen, Rezeptausstellungen, telefonischer Kontakt, Laborproben, Archivierung, aber auch Speicherung, Löschung und Vernichtung personenbezogener Daten. Dennoch wäre hier de jure eine Benennung eines Datenschutzbeauftragten nicht notwendig. Dies widerspräche allerdings erheblich dem Schutzzweck der DSGVO[37]. Der Gesetzgeber müsste unter diesem Aspekt nachbessern. Allein die Personenschwelle des § 38 BDSG erscheint willkürlich[38], da eine konkrete Begründung zur Wahl dieser Personenzahl fehlt und lediglich mit der Entlastung kleinerer und mittlerer Unternehmen sowie gemeinnützigen Vereinen argumentiert wird[39]. So kommt es hinsichtlich der Benennungspflicht i. S. d. § 38 Abs. 1 Satz 1 BDSG nur auf eine Person mehr oder weniger an. Zwar wird es in der Praxis kaum einen einzelnen Arzt bzw. eine einzelne Arztpraxis geben, bei der 20 Personen automatisiert, dauerhaft personenbezogene Daten verarbeiten. Sollte dies jedoch vorkommen, würde der Arzt, in dessen Praxis 20 Personen mit einer solchen Verarbeitung betraut sind, verpflichtet werden, einen Datenschutzbeauftragten zu benennen, während ein Arzt in dessen Praxis z. B. 19 Personen mit dieser Tätigkeit betraut sind, von der Benennungspflicht befreit wäre, obwohl diese mehr bzw. personenbezogene Daten mit höherem Schutzcharakter verarbeiten könnten.
VI. Fazit
Im Hinblick auf die anfangs aufgeworfene Frage, ob auch ein einzelner Arzt einen Datenschutzbeauftragten zu benennen hat, ist zu resümieren, dass der einzelne Arzt grundsätzlich nicht unter die Benennungspflicht i. S. d. Art. 37 Abs. 1 lit. c DSGVO fällt, da er in der Regel den Tatbestand der „umfangreichen Verarbeitung“ nicht erfüllt. In anderen als den in Art. 37 Abs. 1 lit. c DSGVO erfassten Fällen kann die Benennungspflicht jedoch durch den vom nationalen Gesetzgeber geschaffenen § 38 Abs. 1 BDSG eintreten, welcher die Verpflichtung an eine Personenschwelle koppelt. Werden die dort festgelegten 20 Personen, welche mit einer dauerhaften, automatisierten Verarbeitung personenbezogener Daten betraut sein müssen unterschritten, so kann lediglich noch die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO den Benennungszwang eines Datenschutzbeauftragten begründen. Dennoch existiert in der Literatur keine einheitliche Meinung zu dieser Thematik. Festzuhalten bleibt jedoch, dass sich durch die tatbestandliche Prüfung des Art. 37 DSGVO – und bei Verneinung dann – § 38 BDSG bei der überwiegenden Zahl der einzelnen praktizierenden Berufsträgern eine Benennungspflicht verneinen lässt. Ob ein Mehrwert durch die Nichtverpflichtung entsteht, kommt auf die Betrachtungsweise und den individuellen Fall an. Es erspart zwar sicherlich Kosten, sofern kein Datenschutzbeauftragter beauftragt wird, allerdings kann dies in der Folge auch von Nachteil sein. Der Arzt selbst muss ohnehin in seiner Stellung als Verantwortlicher gemäß Art. 24 DSGVO für die Anwendung datenschutzrechtlicher Grundsätze haften[40]. Durch einen Datenschutzbeauftragten steht ihm dahingehend eine fachkundige Person zur Seite[41], um zumindest gewissen datenschutzrechtlichen „Stolperfallen“ vorzubeugen. Insofern ist festzuhalten, dass im Zweifelsfall auch beim einzelnen Arzt es nicht Pflicht, sondern ratsam ist, über die Benennung eines Datenschutzbeauftragten nachzudenken und einen solchen zu beauftragen, da allein schon bei Verstößen gegen bestimmte Verpflichtungen bzw. datenschutzrechtliche Grundsätze im Allgemeinen empfindliche Bußgelder und Sanktionen drohen.
[1] Pauly, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 Rdnr. 3; Hullen/Krohm, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, § 38 Rdnr. 2; Kühling/Sackmann, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, § 38 Rdnr. 2; Däubler, in: Wedde, EU-DSGVO und BDSG-neu, 1. Aufl. 2018, § 38 Rdnr. 1.
[2] Helfrich, in: Sydow, Bundesdatenschutzgesetz, 2020, § 38 Rdnr. 12; Vgl. Hullen/Krohm, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, § 38 Rdnr. 4; Vgl. Däubler, in: Wedde, EU-DSGVO und BDSG-neu, 1. Aufl. 2018, § 38 Rdnr. 3.
[3] Kinast, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, § 38 Rdnr. 37; Franzen, in: Erfurter Kommentar Arbeitsrecht, 20. Aufl. 2020, § 38 Rdnr. 3; Pauly, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 Rdnr. 12; Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, S. 298.
[4] Paal, in: Paal/Pauly DS-GVO BDSG, 2. Aufl. 2018, § 38 Rdnr. 3; Moos, in: Wolff/Brink, BeckOK DatenschutzR, 30. Ed. 2019, Art. 37 Rdnr. 37; Franzen, in: Erfurter Kommentar Arbeitsrecht, 20. Aufl. 2020, § 38 Rdnr. 1; Kühling, NJW 2017, 1985 (1986).
[5] Kühling, NJW 2017, 1985 (1989); Helfrich, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 37 Rdnr. 84; Scheja, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 37 Rdnr. 37.
[6] Vgl. Drewes, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 37 Rdnr. 28; Helfrich, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 37 Rdnr. 84. Kinast, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, § 38 Rdnr. 16.
[7] Helfrich, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 37 Rdnr. 107; Pauly, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 Rdnr. 1.
[8] Paal, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, Art. 37, Rdnr. 9; Stutz, in: Schlaeger/Thode, Handbuch Datenschutz und IT-Sicherheit, 2018, S. 98 f.
[9] Weichert, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 4 Nr. 15 Rdnr. 1; Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 9 Rdnr. 13.
[10]Schreiber, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 4 Rdnr. 56; Weichert, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 4 Nr. 15 Rdnr. 1.
[11]Vgl. Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 24; Vgl. Stutz, in: Schlaeger/Thode, Handbuch Datenschutz und IT-Sicherheit, 2018, S. 98 f.
[12]Scheja, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 37 Rdnr. 20; Paal, in: Paal/Pauly DS-GVO BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 8; Franzen, EuZA 2017, 313 (338); Franzen, in: Franzen/Gallner/Oetker, Europäisches Arbeitsrecht, 3. Aufl. 2020, Art. 37 Rdnr. 5; Dammann, ZD 2016, 307, (308); Klug, ZD 2016, 315 (316).
[13]Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 24.
[14]Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 24; Vgl. von dem Bussche, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 37 Rdnr. 20; Vgl. Drewes, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 37 Rdnr. 28 f.; Stutz, in: Schlaeger/Thode, Handbuch Datenschutz und IT-Sicherheit, 2018, S. 98 f.
[15]Moos, in: Wolff/Brink, BeckOK DatenschutzR, 30. Ed. 2019, Art. 37 Rdnr. 34; Von dem Bussche, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 37 Rdnr. 28 f.; Drewes, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. 2019, Art. 37 Rdnr. 26; Marschall/Müller, ZD 2016, 415 (417).
[16]Art. 29-Datenschutzgruppe, Datenschutzbeauftragte, WP 243, S. 9.
[17]Drewes, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 37 Rdnr. 29; Moos, in Wolff/Brink, BeckOK DatenschutzR, 30. Ed. 2019, Art. 37 Rdnr. 34; Heberlein, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 37 Rdnr. 27; Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, § 38 Rdnr. 1.
[18]Art. 29-Datenschutzgruppe, Datenschutzbeauftragte, WP 243, S. 8; Von dem Bussche, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 37 Rdnr. 28; Moos, in: Wolff/Brink, BeckOK DatenschutzR, 30. Ed. 2019, Art. 37 Rdnr. 34.
[19]Reibach, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 35 Rdnr. 22; Heberlein, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 37 Rdnr. 27.
[20]Von dem Bussche, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 37 Rdnr. 28; Moos, in: Wolff/Brink, BeckOK DatenschutzR, 30. Ed. 2019, Art. 37 Rdnr. 34.
[21]Helfrich, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 37 Rdnr. 84; Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 24; Franzen, EuZA 2017, 313 (338); Franzen, in: Franzen/Gallner/Oetker, Europäisches Arbeitsrecht, 3. Aufl. 2020, Art. 37 Rdnr. 6.
[22]Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 24; Däubler, in: Wedde, EU-DSGVO und BDSG-neu, 1. Aufl. 2018, Art. 37 Rdnr. 9.
[23]Helfrich, in: Sydow, Bundesdatenschutzgesetz, 2020, § 38 Rdnr. 12, 18.
[24]Pauly, in: Paal/Pauly DS-GVO BDSG, 2. Aufl. 2018, § 38 Rdnr. 8; Moos, in: Wolff/Brink, BeckOK DatenschutzR, 30. Ed. 2019, § 38 Rdnr. 11; Helfrich, in: Sydow, Bundesdatenschutzgesetz, 2020, § 38 Rdnr. 17.
[25]Kühling/Sackmann, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, § 38 Rdnr. 12; Helfrich, in: Sydow, Bundesdatenschutzgesetz, 2020, § 38 Rdnr. 18; Jaspers/Reif, in: Schwartmann/Jaspers/Thüsing/Kugelmann DS-GVO/BDSG ,2. Aufl. 2020, Art. 37 Rdnr. 22.
[26]Helfrich, in: Sydow, Bundesdatenschutzgesetz, 2020, § 38 Rdnr. 19; Hullen/Krohm, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, § 38 Rdnr. 8; Moos, in Wolff/Brink, BeckOK DatenschutzR, 30. Ed. 2019, § 38 Rdnr. 12; Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, § 38 Rdnr. 30.
[27]Scheja, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 37 Rdnr 38; Helfrich, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 37 Rdnr. 91.
[28]Scheja, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 37 Rdnr 38.
[29]Vgl. Kazemi, NJW 2018, 443 (443); Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, Art. 1 Rdnr. 1; Vgl. Helfrich, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 37 Rdnr. 88.
[30]Vgl. Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, S. 297; Vgl. Frenzel, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, Art. 9 Rdnr. 6.
[31]Art. 29-Datenschutzgruppe, Datenschutzbeauftragte, WP 243, S. 9.
[32]Vgl. Gabel, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 47 Rdnr. 1;
[33]Scheja, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 37 Rdnr. 24; Vgl. Paal, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 9.
[34]Klug, in: Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 37 Rdnr. 10.; Vgl. Marschall/Müller, ZD 2016, 415 (417 f.).
[35]Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 21; Vgl. Klug, in: Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 37 Rdnr. 1.
[36]Vgl. Kazemi, NJW 2018, 443 (443).
[37]Paal, in: Paal/Pauly DS-GVO BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 9; Vgl. Franzen, in: Franzen/Gallner/Oetker, Europäisches Arbeitsrecht, 3. Aufl. 2020, Art. 9 Rdnr. 3.
[38]Kinast, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, § 38 Rdnr. 13.
[39]BT-Drs. 19/11181, 19; Helfrich, in: Sydow, Bundesdatenschutzgesetz, 2020, § 38 Rdnr. 40.
[40]Hartung, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 24 Rdnr. 9; Helfrich, in: Sydow, Bundesdatenschutzgesetz, 2020, § 38 Rdnr. 40; Vgl. Wedde, in: Wedde, EU-DSGVO und BDSG-neu, 1. Aufl. 2018, Art. 24 Rdnr. 1.
[41]Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 Rdnr. 40; Vgl. Helfrich, in: Sydow, Bundesdatenschutzgesetz, 2020, § 38 Rdnr. 40.
Die an dieser Stelle vorgesehenen Inhalte können aufgrund Ihrer aktuellen Cookie-Einstellungen nicht angezeigt werden.
Diese Webseite bietet möglicherweise Inhalte oder Funktionalitäten an, die von Drittanbietern eigenverantwortlich zur Verfügung gestellt werden. Diese Drittanbieter können eigene Cookies setzen, z.B. um die Nutzeraktivität zu verfolgen oder ihre Angebote zu personalisieren und zu optimieren.
Diese Webseite verwendet Cookies, um Besuchern ein optimales Nutzererlebnis zu bieten. Bestimmte Inhalte von Drittanbietern werden nur angezeigt, wenn die entsprechende Option aktiviert ist. Die Datenverarbeitung kann dann auch in einem Drittland erfolgen. Weitere Informationen hierzu in der Datenschutzerklärung.