Скачать книгу

Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 9; Haag, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil 2 Kapitel 2 Rn. 4; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 75 Rn. 47 m.w.N; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 186. 102 Veil, ZD 2018, 9, 11f. 103 Veil, ZD 2018, 9, 12 m.w.N., geht davon aus, dass die Nachweispflicht „keine Beweislastregel, sondern eine materielle Nachweispflicht“ sei. 104 Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 12 m.w.N. 105 Eine ausführliche tabellarische Übersicht über die von der Nachweispflicht umfassten Vorgaben findet sich in: Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 10, sowie bei Lachenmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, A. I. 106 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 55 m.w.N. 107 Veil, ZD 2018, 9, 13–16; vgl. auch Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 5 Rn. 43ff. 108 Becker, in: Plath, BDSG DSGVO, Art. 83 Rn. 3; Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 83 Rn. 113 m.w.N. 109 Vgl. auch Keppeler/Berning, ZD 2017, 314, 319. 110 Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 66 m.w.N. 111 Voigt/von dem Bussche, DSGVO, S. 41; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 80; vgl. auch Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 62. 112 Dies ergibt ein Umkehrschluss aus Art. 28 Abs. 10 DSGVO. 113 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 7. 114 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 78. 115 Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 74 Rn. 46; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 186. 116 Voigt/von dem Bussche, DSGVO, S. 41. 117 Voigt/von dem Bussche, DSGVO, S. 41; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 80. 118 Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 78; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 73 Rn. 43. 119 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; vgl. ErwG 78 Satz 2 DSGVO; eine Reihe praktikabler Ansätze für die Erfüllung der Rechenschaftspflicht liefert auch Jung, ZD 2018, 208. 120 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 10. 121 Hierzu Voigt, IT-Sicherheitsrecht, Rn. 332ff. 122 Hierzu im Detail Koglin, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 5. 123 Vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 181.

       Art. 6 Rechtmäßigkeit der Verarbeitung

      (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

      1 a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

      2 b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

      3 c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

      4 d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

      5 e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

      6 f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

      Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

      (2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

      (3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

      1 a) Unionsrecht oder

      2 b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

      Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

      (4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

      1 a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

      2 b) den Zusammenhang, in dem die personenbezogenen Daten erhoben

Скачать книгу