# Portabilitaet: UNIVERSAL
# Zuletzt validiert: 2026-02-05
# Naechste Pruefung: 2027-02-05
# Quellen: DSGVO (EU 2016/679), BDSG (2018), EuGH-Rechtsprechung, BfDI-Leitfaeden

================================================================================
                              DATENSCHUTZRECHT
================================================================================

Stand: 2026-02-05
Status: VOLLSTAENDIGER ARTIKEL

================================================================================
INHALTSVERZEICHNIS
================================================================================
  1. Einfuehrung und Grundlagen
  2. DSGVO - Die EU-Datenschutz-Grundverordnung
  3. Grundprinzipien der Datenverarbeitung
  4. Rechtsgrundlagen fuer die Verarbeitung
  5. Betroffenenrechte im Detail
  6. Pflichten der Verantwortlichen
  7. Der Datenschutzbeauftragte
  8. BDSG - Das Bundesdatenschutzgesetz
  9. Technisch-organisatorische Massnahmen
  10. Datenschutz-Folgenabschaetzung
  11. Datenpannen und Meldepflichten
  12. Sanktionen und Bussgelder
  13. Praxisbeispiele
  14. Wichtige Paragraphen
  15. Siehe auch

================================================================================
1. EINFUEHRUNG UND GRUNDLAGEN
================================================================================

Das Datenschutzrecht schuetzt das Grundrecht auf informationelle Selbstbestimmung.
Jede Person soll selbst entscheiden koennen, wer welche Daten ueber sie erhaelt
und wie diese verwendet werden.

HISTORISCHE ENTWICKLUNG
-----------------------
  1970 - Erstes Datenschutzgesetz weltweit (Hessen)
  1977 - Bundesdatenschutzgesetz (BDSG alt)
  1983 - Volkszaehlungsurteil des BVerfG
  1995 - EU-Datenschutzrichtlinie 95/46/EG
  2016 - Verabschiedung der DSGVO
  2018 - Inkrafttreten DSGVO und neues BDSG
  2020 - Schrems-II-Urteil (Drittlandtransfers)
  2024 - EU-US Data Privacy Framework

RECHTSQUELLEN-HIERARCHIE
------------------------
  1. EU-Grundrechtecharta (Art. 7, 8)
  2. DSGVO (unmittelbar anwendbar)
  3. BDSG (ergaenzend)
  4. Landesdatenschutzgesetze (oeffentlicher Bereich)
  5. Bereichsspezifische Regelungen (TTDSG, SGB X, etc.)

================================================================================
2. DSGVO - DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG
================================================================================

Die Verordnung (EU) 2016/679 gilt seit dem 25. Mai 2018 unmittelbar in allen
EU-Mitgliedstaaten. Sie harmonisiert den Datenschutz europaweit.

ANWENDUNGSBEREICH
-----------------
  Sachlich (Art. 2):
    - Automatisierte Verarbeitung personenbezogener Daten
    - Nicht-automatisierte Verarbeitung in Dateisystemen

  Raeumlich (Art. 3 - Marktortprinzip):
    - Niederlassung in der EU
    - Angebot von Waren/Dienstleistungen an EU-Buerger
    - Verhaltensbeobachtung von Personen in der EU

WICHTIGE DEFINITIONEN (Art. 4)
------------------------------
  Personenbezogene Daten:
    Alle Informationen, die sich auf eine identifizierte oder identifizierbare
    natuerliche Person beziehen.

  Verarbeitung:
    Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben,
    Erfassen, Speichern, Veraendern, Auslesen, Loeschen, etc.)

  Verantwortlicher:
    Natuerliche oder juristische Person, die ueber Zwecke und Mittel der
    Verarbeitung entscheidet.

  Auftragsverarbeiter:
    Verarbeitet Daten im Auftrag des Verantwortlichen.

================================================================================
3. GRUNDPRINZIPIEN DER DATENVERARBEITUNG (Art. 5 DSGVO)
================================================================================

  RECHTMAESSIGKEIT, VERARBEITUNG NACH TREU UND GLAUBEN, TRANSPARENZ
  -----------------------------------------------------------------
    Daten muessen auf rechtmaessige Weise, fair und transparent verarbeitet
    werden. Die betroffene Person muss verstehen koennen, was mit ihren
    Daten geschieht.

  ZWECKBINDUNG
  ------------
    Daten duerfen nur fuer festgelegte, eindeutige und legitime Zwecke
    erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise
    weiterverarbeitet werden.

  DATENMINIMIERUNG
  ----------------
    Es duerfen nur die Daten verarbeitet werden, die fuer den jeweiligen
    Zweck erforderlich sind ("so wenig wie moeglich, so viel wie noetig").

  RICHTIGKEIT
  -----------
    Daten muessen sachlich richtig und erforderlichenfalls auf dem neuesten
    Stand sein. Unrichtige Daten sind zu berichtigen oder zu loeschen.

  SPEICHERBEGRENZUNG
  ------------------
    Daten duerfen nur so lange gespeichert werden, wie es fuer die Zwecke
    der Verarbeitung erforderlich ist.

  INTEGRITAET UND VERTRAULICHKEIT
  -------------------------------
    Angemessene Sicherheit durch technische und organisatorische Massnahmen
    (Schutz vor unbefugter Verarbeitung, Verlust, Zerstoerung).

  RECHENSCHAFTSPFLICHT
  --------------------
    Der Verantwortliche muss die Einhaltung aller Grundsaetze nachweisen
    koennen (Dokumentationspflicht).

================================================================================
4. RECHTSGRUNDLAGEN FUER DIE VERARBEITUNG (Art. 6 DSGVO)
================================================================================

Jede Verarbeitung benoetigt mindestens eine Rechtsgrundlage:

  a) EINWILLIGUNG
     Die betroffene Person hat ihre Einwilligung gegeben.
     Anforderungen:
       - Freiwillig
       - Fuer den bestimmten Fall
       - In informierter Weise
       - Unmissverstaendlich
       - Jederzeit widerrufbar (Art. 7)

  b) VERTRAGSERFUELLUNG
     Die Verarbeitung ist zur Erfuellung eines Vertrags erforderlich,
     dessen Vertragspartei die betroffene Person ist.

  c) RECHTLICHE VERPFLICHTUNG
     Der Verantwortliche unterliegt einer rechtlichen Verpflichtung
     (z.B. Aufbewahrungspflichten, Steuerrecht).

  d) LEBENSWICHTIGE INTERESSEN
     Schutz lebenswichtiger Interessen der betroffenen oder einer
     anderen natuerlichen Person (Notfallsituationen).

  e) OEFFENTLICHES INTERESSE
     Wahrnehmung einer Aufgabe im oeffentlichen Interesse oder in
     Ausuebung oeffentlicher Gewalt.

  f) BERECHTIGTE INTERESSEN
     Wahrung berechtigter Interessen des Verantwortlichen oder Dritter,
     sofern nicht Interessen der betroffenen Person ueberwiegen.
     (Interessenabwaegung erforderlich!)

BESONDERE KATEGORIEN (Art. 9)
-----------------------------
  Sensible Daten (Gesundheit, Religion, Sexualleben, politische Meinungen,
  Gewerkschaftszugehoerigkeit, genetische/biometrische Daten) sind
  grundsaetzlich verboten. Ausnahmen: Art. 9 Abs. 2 (z.B. ausdrueckliche
  Einwilligung, Arbeitsrecht, Gesundheitsversorgung).

================================================================================
5. BETROFFENENRECHTE IM DETAIL (Art. 12-23 DSGVO)
================================================================================

  RECHT AUF INFORMATION (Art. 13, 14)
  -----------------------------------
    Bei Datenerhebung: Identitaet des Verantwortlichen, Zwecke, Empfaenger,
    Speicherdauer, Rechte der Betroffenen, Beschwerderecht.

  AUSKUNFTSRECHT (Art. 15)
  ------------------------
    Recht auf Bestaetigung, ob Daten verarbeitet werden.
    Recht auf Kopie der Daten und Informationen ueber:
      - Verarbeitungszwecke
      - Kategorien der Daten
      - Empfaenger
      - Speicherdauer
      - Herkunft der Daten
    Frist: Unverzueglich, spaetestens 1 Monat (verlaengerbar auf 3 Monate).

  RECHT AUF BERICHTIGUNG (Art. 16)
  --------------------------------
    Unverzoegliche Berichtigung unrichtiger Daten.
    Vervollstaendigung unvollstaendiger Daten.

  RECHT AUF LOESCHUNG (Art. 17) - "Recht auf Vergessenwerden"
  -----------------------------------------------------------
    Loeschung wenn:
      - Daten nicht mehr notwendig
      - Einwilligung widerrufen
      - Widerspruch eingelegt
      - Unrechtmaessige Verarbeitung
      - Rechtliche Verpflichtung
    Ausnahmen: Meinungsfreiheit, rechtliche Verpflichtungen, oeffentliches
    Interesse, Rechtsansprueche.

  RECHT AUF EINSCHRAENKUNG (Art. 18)
  ----------------------------------
    "Sperrung" statt Loeschung bei:
      - Bestrittener Richtigkeit
      - Unrechtmaessiger Verarbeitung (Betroffener will keine Loeschung)
      - Verantwortlicher braucht Daten nicht mehr, Betroffener schon
      - Widerspruch eingelegt (Pruefung laeuft)

  RECHT AUF DATENUEBERTRAGBARKEIT (Art. 20)
  -----------------------------------------
    Daten in strukturiertem, gaengigem, maschinenlesbarem Format erhalten.
    Direkte Uebertragung an anderen Verantwortlichen (wenn technisch machbar).
    Gilt nur bei Einwilligung oder Vertrag und automatisierter Verarbeitung.

  WIDERSPRUCHSRECHT (Art. 21)
  ---------------------------
    Widerspruch gegen Verarbeitung bei berechtigten Interessen oder
    oeffentlichem Interesse aus Gruenden der besonderen Situation.
    Bei Direktwerbung: Jederzeitiger Widerspruch ohne Begruendung!

  AUTOMATISIERTE ENTSCHEIDUNGEN (Art. 22)
  ---------------------------------------
    Recht, keiner ausschliesslich automatisierten Entscheidung unterworfen
    zu werden (inkl. Profiling), die rechtliche Wirkung entfaltet.

================================================================================
6. PFLICHTEN DER VERANTWORTLICHEN
================================================================================

  VERZEICHNIS VON VERARBEITUNGSTAETIGKEITEN (Art. 30)
  ---------------------------------------------------
    Schriftliche Dokumentation aller Verarbeitungsvorgaenge:
      - Name/Kontakt des Verantwortlichen und DSB
      - Verarbeitungszwecke
      - Kategorien betroffener Personen und Daten
      - Empfaenger
      - Drittlandtransfers
      - Loeschfristen
      - Technisch-organisatorische Massnahmen

  DATENSCHUTZ DURCH TECHNIKGESTALTUNG (Art. 25)
  ---------------------------------------------
    Privacy by Design: Datenschutz von Anfang an einplanen.
    Privacy by Default: Datenschutzfreundliche Voreinstellungen.

  AUFTRAGSVERARBEITUNG (Art. 28)
  ------------------------------
    Nur mit Vertrag (Auftragsverarbeitungsvertrag - AVV):
      - Gegenstand und Dauer
      - Art und Zweck
      - Art der Daten
      - Weisungsgebundenheit
      - TOMs
      - Subunternehmer-Regelung
      - Pruefrechte

================================================================================
7. DER DATENSCHUTZBEAUFTRAGTE (Art. 37-39 DSGVO, § 38 BDSG)
================================================================================

BESTELLPFLICHT
--------------
  Nach DSGVO (Art. 37):
    - Behoerden/oeffentliche Stellen
    - Kerntaetigkeit: umfangreiche regelmaessige Ueberwachung
    - Kerntaetigkeit: umfangreiche Verarbeitung sensibler Daten

  Nach BDSG (§ 38):
    - Mindestens 20 Personen staendig mit automatisierter Verarbeitung
    - Verarbeitungen mit Datenschutz-Folgenabschaetzung
    - Geschaeftsmaessige Datenverarbeitung (Auskunfteien, Marktforschung)

AUFGABEN (Art. 39)
------------------
  - Unterrichtung und Beratung
  - Ueberwachung der Einhaltung
  - Beratung bei DSFA
  - Zusammenarbeit mit Aufsichtsbehoerde
  - Anlaufstelle fuer Aufsichtsbehoerde

STELLUNG
--------
  - Weisungsfrei in Fachfragen
  - Keine Benachteiligung/Abberufung wegen Aufgabenerfuellung
  - Besonderer Kuendigungsschutz (§ 38 Abs. 2 BDSG, § 6 Abs. 4 BDSG)
  - Direkte Berichterstattung an hoechste Managementebene

================================================================================
8. BDSG - DAS BUNDESDATENSCHUTZGESETZ
================================================================================

Das BDSG ergaenzt die DSGVO im deutschen Recht (Oeffnungsklauseln).

WICHTIGE REGELUNGEN
-------------------
  § 22 - Verarbeitung besonderer Kategorien
  § 26 - Beschaeftigtendatenschutz (Begruendung, Durchfuehrung, Beendigung)
  § 38 - Datenschutzbeauftragter (20-Personen-Schwelle)
  §§ 41-43 - Sanktionen (Strafvorschriften)
  § 4 - Videoueberwachung oeffentlich zugaenglicher Raeume

BESCHAEFTIGTENDATENSCHUTZ (§ 26 BDSG)
-------------------------------------
  Verarbeitung zulaessig wenn erforderlich fuer:
    - Entscheidung ueber Begruendung des Beschaeftigungsverhaeltnisses
    - Durchfuehrung des Beschaeftigungsverhaeltnisses
    - Beendigung des Beschaeftigungsverhaeltnisses
    - Ausuebung/Erfuellung von Rechten aus Kollektivvereinbarungen

  Besonderheiten:
    - Einwilligung moeglich (strenge Freiwilligkeitspruefung)
    - Betriebsvereinbarungen als Rechtsgrundlage
    - Aufdeckung von Straftaten unter engen Voraussetzungen

================================================================================
9. TECHNISCH-ORGANISATORISCHE MASSNAHMEN (Art. 32 DSGVO)
================================================================================

  TECHNISCHE MASSNAHMEN
  ---------------------
    - Verschluesselung (Transport, Speicherung)
    - Pseudonymisierung
    - Zugangskontrolle (Authentifizierung)
    - Zugriffskontrolle (Berechtigungskonzept)
    - Firewall, Antivirensoftware
    - Protokollierung
    - Backup-Systeme

  ORGANISATORISCHE MASSNAHMEN
  ---------------------------
    - Datenschutzrichtlinien
    - Schulungen/Sensibilisierung
    - Verpflichtung auf Vertraulichkeit
    - Clean Desk Policy
    - Besucherregelungen
    - Vier-Augen-Prinzip
    - Notfallplaene

================================================================================
10. DATENSCHUTZ-FOLGENABSCHAETZUNG (Art. 35 DSGVO)
================================================================================

Erforderlich bei hohem Risiko fuer Rechte und Freiheiten:
  - Systematische Bewertung persoenlicher Aspekte (Profiling)
  - Umfangreiche Verarbeitung sensibler Daten
  - Systematische Ueberwachung oeffentlicher Bereiche
  - Blacklist der Aufsichtsbehoerde

INHALT DER DSFA
---------------
  - Beschreibung der Verarbeitung
  - Bewertung Notwendigkeit/Verhaeltnismaessigkeit
  - Bewertung der Risiken
  - Abhilfemassnahmen
  - Bei hohem Restrisiko: Konsultation der Aufsichtsbehoerde (Art. 36)

================================================================================
11. DATENPANNEN UND MELDEPFLICHTEN (Art. 33, 34 DSGVO)
================================================================================

MELDUNG AN AUFSICHTSBEHOERDE (Art. 33)
--------------------------------------
  Wann: Bei Verletzung des Schutzes personenbezogener Daten
  Frist: Unverzueglich, moeglichst binnen 72 Stunden
  Ausnahme: Voraussichtlich kein Risiko fuer Betroffene
  Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffene, Folgen, Massnahmen

BENACHRICHTIGUNG BETROFFENER (Art. 34)
--------------------------------------
  Wann: Bei hohem Risiko fuer Rechte und Freiheiten
  Ausnahmen:
    - Geeignete TOMs (z.B. Verschluesselung)
    - Nachtraegliche Massnahmen beseitigen Risiko
    - Unverhaeltnismaessiger Aufwand (dann oeffentliche Bekanntmachung)

================================================================================
12. SANKTIONEN UND BUSSGELDER (Art. 83, 84 DSGVO)
================================================================================

BUSSGELDER
----------
  Bis 10 Mio EUR oder 2% Jahresumsatz:
    - Pflichten des Verantwortlichen
    - Pflichten des Auftragsverarbeiters
    - Pflichten der Zertifizierungsstelle

  Bis 20 Mio EUR oder 4% Jahresumsatz:
    - Grundsaetze der Verarbeitung
    - Rechtsgrundlagen
    - Betroffenenrechte
    - Drittlandtransfers
    - Anordnungen der Aufsichtsbehoerde

BEMESSUNGSKRITERIEN
-------------------
  - Art, Schwere, Dauer des Verstosses
  - Vorsatz oder Fahrlaessigkeit
  - Massnahmen zur Schadensminderung
  - Fruehere Verstoesse
  - Zusammenarbeit mit Aufsichtsbehoerde
  - Betroffene Datenkategorien
  - Art der Kenntniserlangung

ZIVILRECHTLICHE ANSPRUECHE (Art. 82)
------------------------------------
  Schadensersatz fuer materielle und immaterielle Schaeden.
  Gesamtschuldnerische Haftung bei mehreren Verantwortlichen.

================================================================================
13. PRAXISBEISPIELE
================================================================================

BEISPIEL 1: NEWSLETTER-VERSAND
------------------------------
  Situation: Unternehmen moechte Newsletter an Kunden versenden.
  Loesung:
    - Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a)
    - Double-Opt-In-Verfahren
    - Hinweis auf Widerrufmoeglichkeit in jeder Mail
    - Dokumentation der Einwilligung
    - Abmeldelink in jedem Newsletter

BEISPIEL 2: MITARBEITERUEBERWACHUNG
-----------------------------------
  Situation: Arbeitgeber will E-Mails der Mitarbeiter ueberwachen.
  Rechtslage:
    - Private Nutzung erlaubt: Fernmeldegeheimnis, sehr eingeschraenkt
    - Nur dienstlich: § 26 BDSG, aber Verhaeltnismaessigkeit
    - Heimliche Ueberwachung nur bei konkretem Straftatverdacht
    - Betriebsrat-Mitbestimmung (§ 87 BetrVG)

BEISPIEL 3: AUSKUNFTSERSUCHEN
-----------------------------
  Situation: Kunde verlangt Auskunft nach Art. 15 DSGVO.
  Vorgehen:
    1. Identitaet des Anfragenden pruefen
    2. Alle Systeme nach Daten durchsuchen
    3. Informationen zusammenstellen
    4. Kopie der Daten erstellen
    5. Innerhalb eines Monats antworten
    6. Kostenfrei (ausser bei offenkundig unbegruendetem Antrag)

================================================================================
14. WICHTIGE PARAGRAPHEN
================================================================================

DSGVO
-----
  Art. 4   - Begriffsbestimmungen
  Art. 5   - Grundsaetze der Verarbeitung
  Art. 6   - Rechtsgrundlagen
  Art. 7   - Einwilligung
  Art. 9   - Besondere Kategorien
  Art. 12-23 - Betroffenenrechte
  Art. 24-31 - Pflichten Verantwortlicher
  Art. 32  - Sicherheit der Verarbeitung
  Art. 33  - Meldung Datenpanne
  Art. 35  - Datenschutz-Folgenabschaetzung
  Art. 37-39 - Datenschutzbeauftragter
  Art. 44-49 - Drittlandtransfers
  Art. 82  - Schadensersatz
  Art. 83  - Bussgelder

BDSG
----
  § 4  - Videoueberwachung
  § 22 - Besondere Datenkategorien
  § 26 - Beschaeftigtendatenschutz
  § 38 - Datenschutzbeauftragter

================================================================================
WICHTIGER HINWEIS
================================================================================

  Dieser Artikel dient ausschliesslich der allgemeinen Information und
  Orientierung. Er stellt KEINE Rechtsberatung dar und kann eine solche
  nicht ersetzen. Bei konkreten datenschutzrechtlichen Fragen wenden Sie
  sich bitte an einen spezialisierten Rechtsanwalt oder Ihren
  Datenschutzbeauftragten.

================================================================================
SIEHE AUCH
================================================================================
  wiki/jura/europarecht/
  wiki/jura/arbeitsrecht/
  wiki/informatik/it_sicherheit/
  wiki/informatik/kryptographie/
  wiki/jura/vertragsrecht/ (Auftragsverarbeitung)

================================================================================
