DSGVO - BDSG - TTDSG

502

Anhang I der RL 2015/1535/EU sieht dabei eine Vielzahl von Ausnahmenvor. Zum einen sind hierunter nicht Dienste zu fassen, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden (z.B. Geld- und Fahrkartenautomaten sowie Geräte, welche den Zugang zu gebührenpflichtigen Straßennetzen, Parkplätzen usw. kontrollieren). Zum anderen fallen ebenfalls offline erbrachte Dienste nicht unter den Begriff, auch wenn der Zugang zu ihnen online vermittelt wird (z.B. Vertrieb von Software auf haptischen Datenträgern).876 Letztlich werden solche Dienste ausgeschlossen, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden. Anhang I der RL 2015/1535/EU nennt dabei explizit Sprachtelefondienste, Telefax-/Telexdienste, über Sprachtelefon oder Telefax erbrachte Dienste sowie die anwaltlich oder medizinische Beratung per Telefon/Telefax und das auf gleichem Wege erbrachte Direktmarketing.

503

Eine „auf individuellen Abruf eines Empfängers“ erbrachte Dienstleistung liegt dann vor, wenn die Dienstleistung durch Übertragung von Daten auf individuelle Anforderung erbracht wird. Nichtdarunter fallen demnach linear, mithin ohne individuellen Abruf gleichzeitig für eine unbegrenzte Zahl von Empfängern erbrachte Dienste wie etwa Fernsehen oder Hörfunk.

504

Internationale Organisationen unterliegen grundsätzlichnicht dem Recht einzelner Staaten und damit keinem (nationalen oder unionsweitem) Datenschutzrecht.877 Die DSGVO behandelt internationale Organisationen daher wie Drittländer. Ausweislich ErwG 101 finden demnach die ergänzenden Anforderungen von Art. 44ff. DSGVO an Übermittlungen von personenbezogenen Daten an Stellen außerhalb der EU ebenfalls Anwendung, wenn personenbezogene Daten aus der EU an internationale Organisationen übermittelt werden sollen.

505

Wie auch Drittstaaten kann die EU-Kommission gemäß Art. 45 DSGVO i.V.m. ErwG 103 per Angemessenheitsbeschluss auch internationalen Organisationen ein angemessenes Schutzniveauattestieren und somit eine Übermittlung an solche internationalen Organisationen auf zweiter Stufe für zulässig erklären.

506

Ausweislich ErwG 102 dürfen die Mitgliedstaaten zudem internationale Übereinkünfte schließen, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen beinhalten, sofern sich diese Übereinkünfte weder auf die DSGVO noch auf andere Bestimmungen des Unionsrechts auswirken. Art. 96 DSGVO stellt dabei klar, dass bestehende internationale Übereinkünfte, die im Einklang mit dem vor Inkrafttreten der DSGVO geltenden Unionsrecht abgeschlossen wurden, in Kraft bleiben, bis sie geändert, ersetzt oder gekündigt werden.

507

Eine internationale Organisationim Sinne der DSGVO zeichnet sich nach Art. 4 Nr. 26 DSGVO dadurch aus, dass es sich um eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung handelt, die durch eine zwischen zwei oder mehreren Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft getroffen wurde.

508

Auch ohne entsprechende Legaldefinition besteht bezüglich der Merkmale einer völkerrechtlichen Organisation weitestgehend Einigkeit. Sie muss entweder durch ein bi- oder multilaterales völkerrechtliches Übereinkommen geschaffen werden oder (abgeleitet) auf der Grundlage eines solchen Übereinkommens bestehen. Zudem muss eine völkerrechtliche Organisation mit eigenen Aufgaben betraut sein sowie zumindest über ein Organ verfügen und damit handlungsfähig sein.878 Ferner muss sie Völkerrechtspersönlichkeit aufweisen und damit Träger völkerrechtlicher Rechte und Pflichten sein können.879

509

Nicht erfasstsind demgegenüber nichtstaatliche Organisationen (NGO), da sie gerade nicht auf einem völkerrechtlichen Übereinkommen beruhen. Als Verbände unterliegen sie daher dem jeweiligen nationalen Datenschutzrecht. Eine Ausnahme besteht allenfalls dann, wenn ihnen ein völkerrechtliches Mandat zukommt.880

1Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9.9.2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1). 2Kritisch bezüglich der ausschließlichen Anknüpfung an personenbezogene Daten und für eine Einbeziehung von materiellen Schutzpositionen (wie z.B. nach Art. 1 und 8 GRCh) Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 1 Rn. 2. 3So im Ergebnis auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 2; Karg, DuD 2015, 520, 521. Zu den konkreten Unterschieden sogleich in den einzelnen Merkmalen. Ausführlich zur Entstehungsgeschichte des Art. 4 Nr. 1 DSGVO Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 1 Rn. 4ff. 4Insbesondere Art.-29-Datenschutzgruppe, WP 136, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007, Art.-29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014 zu Anonymisierungstechniken v. 10.4.2014 und EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 842, 845. 5Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 6; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 8; noch zur Definition von personenbezogenen Daten in Art. 2 lit. a DSRl, welche ebenfalls „alle Informationen“ umfasste, Art.-29-Datenschutzgruppe, WP 136, 7; zum Vergleich mit dem Datenbegriff der Informatik Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8. 6Art.-29-Datenschutzgruppe, WP 136, 7; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 7. Ausführlich zu Werturteilen Gola, in: Gola, DS-GVO, Art. 4 Rn. 12. 7Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 9, und Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8, jeweils mit Verweis auf BVerfG, 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419, 422 – Volkszählungsurteil. 8Vgl. ErwG 51 Satz 3 DSGVO. 9Vgl. die biologische Analyse zur Gewinnung genetischer Daten in Art. 4 Nr. 13 DSGVO, Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 275. 10Art.-29-Datenschutzgruppe, WP 136, 8ff.; vgl. auch die Technologieneutralität in ErwG 15 DSGVO; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 7. 11Ähnlich Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8. 12Zur binären Natur des Personenbezuges, der eine Rechtsgüterabwägung ausschließt, Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 1 Rn. 14ff. 13Art.-29-Datenschutzgruppe, WP 105, 9. 14Art.-29-Datenschutzgruppe, WP 136, 11ff. 15„IP“ steht für „Internet Protocol“ und ist das grundlegende Netzwerkprotokoll für das Internet. Computern wird im Internet eine IP-Adresse zugeteilt, um sie adressieren zu können, die entweder 32 Bit lang ist nach IPv4 (z.B. 207.142.131.235) oder zukünftig 128 Bit lang nach IPv6 (z.B. 2001:0db8:85a3:08d3:1319:8a2e:0370:7344). Ferner ist zwischen statischen, mithin dauerhaft zugeteilten, und dynamischen, mithin lediglich temporär zugeteilten, IP-Adressen zu differenzieren. 16Hier kommt es gerade noch nicht darauf an, ob bzw. wie der dahinterstehende Nutzer tatsächlich identifiziert werden kann. 17Art.-29-Datenschutzgruppe, WP 148, 9. 18Ausführlich Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 22f. 19Art.-29-Datenschutzgruppe, WP 136, 13; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 8. 20Art.-29-Datenschutzgruppe, WP 136, 13. 21Art.-29-Datenschutzgruppe, WP 136, 13. 22Im Gegensatz zur DSGVO ist im Entwurf der EU-Kommission zur sich noch im Gesetzgebungsprozess befindlichen ePrivacy-Verordnung vorgesehen, dass all diese Kommunikationsdaten von vernetzten Geräten (machine-to-machine communcations) unabhängig vom Personenbezug geschützt sind. Der Entwurf des LIBE-Ausschusses des Europäischen Parlaments schlägt allerdings wiederum eine Einschränkung auf Kommunikationsdaten vor, die sich auf Nutzer beziehen. Der jüngste Entwurf des Rats sieht diese Einschränkung hingegen nicht vor. Es bleibt insofern abzuwarten, was die für die zweite Hälfte des Jahres 2018 geplanten Trilog-Verhandlungen ergeben. 23Art.-29-Datenschutzgruppe, WP 136, 25. 24So auch schon nach ErwG 2 DSRl, Art.-29-Datenschutzgruppe, WP 136, 25. 25Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 34; noch weiter, weil auch den Schutz von anderen Zusammenschlüssen von Personen als ausgeschlossen ansehend Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 14; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 4; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 5; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 8, lässt darunter auch Bürgerinitiativen fallen. 26Siehe Art.-29-Datenschutzgruppe, WP 136, 27, mit Verweis im Hinblick auf die Zulässigkeit einer solchen Ausweitung unter der DSRl auf EuGH, Urt. v. 6.11.2003 – Rs. C-101/01, EuZW 2004, 245, 252, Rn. 98 – Lindqvist; vgl. insoweit auch zur unter Umständen bestehenden grundrechtlichen Schutzfähigkeit juristischer Personen Gola, in: Gola, DS-GVO, Art. 4 Rn. 24. 27Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 8. 28Braun, in: Beck’scher TKG-Kommentar, § 91 Rn. 21 m.w.N. 29Art.-29-Datenschutzgruppe, WP 136, 27. 30Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 318, mit Verweis u.a. auf BGH, Urt. v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505, 2506, und BGH, Urt. v. 24.6.2003 – VI ZR 3/03, NJW 2003, 2904, 2904f.; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 14; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 4; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 13. 31Art.-29-Datenschutzgruppe, WP 136, 27; vgl. auch im Hinblick auf den Schutzbereich der Art. 7 und 8 GRCh EuGH, Urt. v. 9.11.2010 – Rs. C-92/09, und C-93/09, EuZW 2010, 939, 941, Rn. 53. 32Art.-29-Datenschutzgruppe, WP 136, 27. 33ErwG 27 Satz 1 DSGVO. 34Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 5; Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 11; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 13; vgl. noch zur DSRl Art.-29-Datenschutzgruppe, WP 136, 26. 35Kritisch insofern Gola, in: Gola, DS-GVO, Art. 4 Rn. 29; vgl. aber § 4 Abs. 1 Satz 2 BlnDSG: „Entsprechendes gilt für Daten über Verstorbene, es sei denn, dass schutzwürdige Belange des Betroffenen nicht mehr beeinträchtigt werden können“. 36Z.B. BVerfG, Urt. v. 16.9.2008 – VI ZR 244/07, NJW 2009, 751 – Ehrensache; BGH, Urt. v. 1.12.1999 – I ZR 49/97, NJW 2000, 2195 – Marlene Dietrich; AG Mettmann, Urt. v. 16.6.2015 – 25 C 384/15, ZD 2016, 140. 37Z.B. § 203 Abs. 5 StGB, § 35 Abs. 5 SGB I i.V.m. § 67 SGB X, § 22 KUG, § 7 Abs. 1 Satz 3 KrankenhausG; vgl. Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 11f.; Gola, in: Gola, DS-GVO, Art. 4 Rn. 26f. 38Hierzu ausführlich Leipold, in: MüKo-BGB, § 1922 Rn. 31ff. 39LG Berlin, Urt. v. 17.12.2015 – 20 O 172/15, ZD 2016, 182, mit Anm. Solmecke/Schmitt, ZD 2016, 186. 40Bezogen auf den Auskunftsanspruch nach § 34 BDSG a.F. im Ergebnis auch Klas/Möhrke-Sobelewski, NJW 2015, 3473, 3475f.; a.A. aber LG Berlin, Urt. v. 17.12.2015 – 20 O 172/15, ZD 2016, 182, 186: „Allerdings erscheint es unbillig, die Erben auf der einen Seite als Rechtsnachfolger des Erblassers anzusehen, auf der anderen Seite aber nicht als Betroffene i.S.d. § 34 BDSG“; Leeb, K&R 2016, 139, 140; Solmecke/Köbrich/Schmitt, MMR 2015, 291, 292ff.; beschränkt auf diejenigen Verarbeitungen, die zu Lebzeiten des Betroffenen stattgefunden haben, Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 11. 41Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 9f., stellt zur DSRl allgemein darauf ab, dass das mitgliedstaatliche Rechtssystem insofern entscheidend sei; Art.-29-Datenschutzgruppe, WP 136, 26f. 42Vgl. Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 1 Rn. 40. 43Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 7; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 10; i.E. auch, aber ohne Begründung, sondern nur mit Verweis auf ErwG 27, Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 4. 44Vgl. aber die Situation eingefrorener Embryonen Art.-29-Datenschutzgruppe, WP 136, 27; Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 10. 45Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 7; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 12. 46Ebenso Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 6; Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, Art. 4 Rn. 2. 47Noch zur DSRl EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 38 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845; zur DSGVO Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 18; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 14. 48Noch zur DSRl Art.-29-Datenschutzgruppe, WP 136, 14; Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 16. 49Vgl. ErwG 26 Satz 3. 50Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 291. 51Art.-29-Datenschutzgruppe, WP 136, 15. 52Art.-29-Datenschutzgruppe, WP 136, 15. 53Art.-29-Datenschutzgruppe, WP 136, 15. 54Bejahend etwa Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 16; zur alten Rechtslage auch Dammann, in: Simitis, § 3 BDSG Rn. 22. 55So auch zur alten Rechtslage Dammann, in: Simitis, § 3 BDSG Rn. 22. 56So auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 39. 57Zu dynamischen IP-Adressen EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 38 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845; so auch allgemein zu technischen Eigenschaften von Endgeräten Dieterich, ZD 2015, 199, 201; a.A. hinsichtlich Cookie-IDs Art.-29-Datenschutzgruppe, WP 171, 11 und Art.-29-Datenschutzgruppe, WP 148, 9; Karg, ZD 2012, 255, 257f.; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 292ff.; a.A. allgemein hinsichtlich Device Fingerprinting Art.-29-Datenschutzgruppe, WP 188, 9; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 292ff. 58EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 38 i.V.m. 40, 41 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845. 59In diesem Zusammenhang nicht im datenschutzrechtlichen Sinne gemeint, da das datenschutzrechtliche Synonym personenbezogene Daten voraussetzt. 60A. A. aber Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 292ff. 61Moos/Rothkegel, MMR 2016, 842, 846. 62Art.-29-Datenschutzgruppe, WP 136, 15. 63Diese gesetzliche Auflistung ist schon aufgrund der Verwendung des Wortes „insbesondere“ nicht abschließend. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 17, nennt die Kennungsbeispiele „Regelbeispiele“. 64Das Merkmal der genetischen Identität war noch nicht in Art. 2 lit. a DSRl enthalten. 65Art.-29-Datenschutzgruppe, WP 136, 16. 66Die Formulierung „nach allgemeinem Ermessen wahrscheinlich“ in ErwG 26 Satz 3 unterscheidet sich nur sprachlich in der deutschen Fassung von „vernünftig einsetzbare Mittel“ im ErwG 26 Satz 2 DSRl, nicht aber inhaltlich, wie die fast gleiche Formulierung („reasonably likely to be used“/„likely reasonably be used“) in den englischen Fassungen zeigt (es dürfte sich insofern in der deutschen Fassung um ein Redaktionsversehen handeln), sodass die entsprechende EuGH-Rechtsprechung übernommen werden kann, ebenfalls Kring/Marosi, K&R 2016, 773, 776; a.A. aber, das Bezugsobjekt und damit auch die Bedeutung habe sich durch die Umstellung geändert, Krügel, ZD 2017, 455, 459. 67Wójtowicz/Cebulla, PinG 2017, 186, 188; so schon zur DSRl Art.-29-Datenschutzgruppe, WP 136, 17. 68Wójtowicz/Cebulla, PinG 2017, 186, 188. 69EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 46 – Breyer. 70Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 16. 71EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 46 – Breyer; so auch Brink/Eckhardt, ZD 2015, 205, 211; Kühling/Klar, ZD 2017, 24, 28; a.A. aber Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 17; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 29; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 23; Bergt, ZD 2015, 365, 370; Krügel, ZD 2017, 455, 459, der europäische Gesetzgeber habe bei der DSGVO eine andere Wertung getroffen, indem er den Wortlaut des ErwG 26 Satz 3 im Vergleich zu ErwG 26 Satz 2 DSRl geändert hat. Letztere Ansicht überzeugt schon deshalb nicht, weil in den englischen Fassungen der beinahe identische Wortlaut wohl keine dementsprechende inhaltliche Änderung zur Folge haben dürfte. 72Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 24, mit Verweis auf GA Sánchez-Bordona – Rs. C-582/14, BeckRS 2016, 81027 Rn. 77; Piltz, K&R 2016, 557, 56; wohl auch Brink/Eckhardt, ZD 2015, 205, 211. 73Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 284. 74Die geforderte Berücksichtigung der technologischen Entwicklung führt dazu, dass zumindest absehbare oder zu erwartende technologische Entwicklungen bei der Frage nach den wahrscheinlich verwendeten Mitteln einzubeziehen sind (so Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 24; Piltz, K&R 2016, 557, 561; Schantz, NJW 2016, 1841, 1843; wohl auch Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Rn. 5; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 284, fordert insofern, dass nur technische Entwicklungen einbezogen werden, die sich – angelehnt an den „Stand der Wissenschaft und Technik“ – bereits in der wissenschaftlichen Entwicklung abzeichnen), was insbesondere neue, verbesserte Formen der Datenanalyse umfassen dürfte (allgemein Zukunftsprognosen über Zuordnungstechniken wie Big Data fordernd Roßnagel/Nebel/Richter, ZD 2015, 455, 456). 75Eine ausführliche Zusammenstellung aller vertretenen Ansichten findet sich z.B. bei Bergt, ZD 2015, 365. 76Noch zur alten Rechtslage LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08, ZD 2013, 618, 619, welches aber dem relativen Ansatz folgt. 77Härting, DSGVO, Rn. 281ff.; Breyer, ZD 2014, 400; Buchner, DuD 2016, 155, 156; Dregelies, VuR 2017, 256, 257; in Kombination mit einem graduellen Begriff des Personenbezugs Herbst, NVwZ 2016, 902, 905f.; in der Tendenz auch Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 3. 78Düsseldorfer Kreis, Beschl. v. 26./27.11.2009. Die Art.-29-Datenschutzgruppe neigte hingegen eher dem relativen Ansatz zu, Art.-29-Datenschutzgruppe, WP 136, 19f. und Art.-29-Datenschutzgruppe, WP 148, 9. 79Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 15; Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 1 Rn. 7ff.; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 9ff.; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 14f.; Eckhardt, CR 2016, 786, 789; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 13; Kartheuser/Gilsdorf, MMR-Aktuell 2016, 382533; Roßnagel/Kroschwald, ZD 2014, 495, 496f. 80Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, Art. 4 Rn. 5; Gola, in: Gola, DS-GVO, Art. 4 Rn. 16ff.; Brink/Eckhardt, ZD 2015, 205, 209; Hansen/Struwe, GRUR-Prax 2016, 503; Hofmann/Johannes, ZD 2017, 221. 81Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 26; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 277ff.; Karg, DuD 2015, 520, 525; Kipker/Kubis, MMR 2017, 605, 609; Kring/Marosi, K&R 2016, 773, 774 und 776; Krügel, ZD 2017, 455, 459; Kühling/Klar, ZD 2017, 24, 28; Mantz/Spittka, NJW 2016, 3579, 3582; Marnau, DuD 2016, 428, 429f.; Moos/Rothkegel, MMR 2016, 842, 845; Schantz, NJW 2016, 1841, 1842f.; Weinhold, ZD-Aktuell 2016, 05366; Ziegenhorn, NVwZ 2017, 213, 217; wohl auch Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 33ff. 82EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843f., Rn. 43ff. 83Auf Englisch „Internet Service Provider“ (ISP). 84EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843f., Rn. 44ff. 85Vgl. insofern auch ErwG 4 Satz 2, wonach das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist, sondern es im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss. 86Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 10. 87EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843f., Rn. 47ff. 88Dafür, dass stets der Einzelfall betrachtet werden müsse, Hansen/Struwe, GRUR-Prax 2016, 503, 503; dagegen jedoch, ein abstrakter Auskunftsanspruch reiche aus, Schlussanträge GA Sánchez-Bordona – Rs. C-582/14, BeckRS 2016, 81027, Rn. 75ff.; Bierekoven, NJW 2017, 2416, 2420; Kipker/Kubis, MMR 2017, 605, 609; Schreiber, GRUR-Prax 2017, 333; kritisch aber Hoeren, WUB 2017, 606, 607. 89Voigt/Skistims, BB 2016, 2830, 2834. 90BGH, Urt. v. 16.5.2017 – VI ZR 135/13, NJW 2017, 2416, 2418, Rn. 26. 91Vgl. BGH, Urt. v. 16.5.2017 – VI ZR 135/13, NJW 2017, 2416, 2418, Rn. 26. 92BGH, Urt. v. 16.5.2017 – VI ZR 135/13, NJW 2017, 2416, 2418, Rn. 26. 93So auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 28. 94So allgemein auch Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 37. 95Hierzu Art.-29-Datenschutzgruppe, WP 136, 20. 96Ebenso Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 35; Bergt, ZD 2015, 365, 370; Keppeler, CR 2016, 360, 363. 97Zum Verhältnis des KUG und der DSGVO ausführlich Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1059ff.; Sundermann, K&R 2018, 438, 438ff. 98Vgl. Specht, in: Dreier/Schulze, § 22 KUG Rn. 17f. 99Für eine Anwendung von Art. 14 EU-DSGVO statt von Art. 13 EU-DSGVO im Falle des Fotografierens von großen Menschenmengen oder Menschen als Beiwerk von Sehenswürdigkeiten, sofern Art. 11 EU-DSGVO nicht greifen sollte, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus, S. 6ff. 100So etwa Remmertz, MMR 2018, 507, 508. 101Vgl. insoweit auch unter Verweis auf die Kunstfreiheit nach Art. 13 GRCh: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus, S. 5; in diese Richtung auch Ziebarth/Elsaß, ZUM 2018, 578, 584. 102BGH, 14.10.1986 – VI ZR 10/96, NJW-RR 1987, 231 – Nena; OLG Frankfurt am Main, 24.2.2011 – 16 U 172/10, ZUM-RD 2011, 408; bei Arbeitnehmern BAG, 11.12.2014 – 8 AZR 1010/13, NJW 2015, 2140, 2144 Rn. 38ff.; für eine Übertragung des Grundsatzes vom KUG auf die EU-DSGVO ausführlich Dzida/Grau, DB 2018, 189, 190. 103Golz/Gössling, IPRB 2018, 68, 70f.; Hansen/Brechtel, GRUR-Prax, 2018, 369, 369. 104Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus, S. 2ff.; Ziebarth/Elsaß, ZUM 2018, 578, 584; Paschke/Halder, jurisPR-ITR 15/2018 Anm. 3; Sundermann, K&R 2018, 438, 439f.; a.A. zur alten Rechtslage Renner, ZUM 2015, 608, 609; in diese Richtung auch Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1059; jedenfalls für journalistische Zwecke auch bei der Anfertigung von einem Anwendungsvorrang des KUG ausgehend Bundesregierung, BT-Drs. 19/4421, S. 47. 105Interessant insofern § 19 des Entwurfs zum neuen BlnDSG (https://www.parlament-berlin.de/ados/18/KTDat/vorgang/ktd18-0063-v.pdf), der die Anwendung der EU-DSGVO bei Verarbeitungen aufgrund von §§ 22, 23 KUG größtenteils nicht anwenden möchte. Es ist allerdings schon fraglich, ob ein Bundesland hierzu überhaupt die nötige Gesetzgebungskompetenz für einen solchen Ausschluss hat. 106So Lembke, in: Henssler/Willemsen/Kalb, Art. 88 DSGVO Rn. 105; Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, S. 287; Flisek/Thiess, IPRB 2018, 112, 115; ebenfalls, um eine Zersplitterung zwischen Zwecken, die unter Art. 85 Abs. 2 EU-DSGVO fallen und solchen, die es nicht tun, zu vermeiden, Sundermann, K&R 2018, 438, 442f.; i.E. wohl auch Remmertz, GRUR-Prax 2018, 254, 256. 107Vgl. hierzu: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus, S. 6ff.; Sundermann, K&R 2018, 438, 440 der anführt, dass jedenfalls im Falle der Aufnahme von Menschenmengen die Ausnahme nach Art. 11 Abs. 1 DSGVO, hilfsweise nach Art. 14 Abs. 5 lit. b DSGVO, greifen solle. 108So Bundesregierung, BT-Drs. 19/4421, S. 47; Bundesministerium des Innern, für Bau und Heimat (BMI), FAQs zur Datenschutzgrundverordnung, https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html sowie: Häufig nachgefragt – Datenschutz-Grundverordnung, https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html; die Landesbeauftragte für den Datenschutz Niedersachsen, Anfertigung und Veröffentlichung von Personenfotografien nach dem 25.5.2018 im nicht-öffentlichen Bereich, http://www.lfd.niedersachsen.de/download/132460/Merkblatt_zur_Anfertigung_und_Veroeffentlichung_von_Personenfotografien_nach_dem_25._Mai_2018_im_nicht-oeffentlichen_Bereich.pdf; Golz/Gössling, IPRB 2018, 68, 70; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060f.; Specht, MMR 2017, 577, 577; vgl. auch Louisa Specht, in: Sydow, DS-GVO, Art. 85 Rn. 11; a.A. wohl Bergt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, H.I.1., der zwar die Anwendungsfrage in einem ersten Schritt offen lässt, aber die Wertungen der DSGVO anwendet. 109So Bundesministerium des Innern, für Bau und Heimat (BMI), FAQs zur Datenschutzgrundverordnung, https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutzgrundverordnung.html sowie: Häufig nachgefragt – Datenschutz-Grundverordnung, https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html; die Landesbeauftragte für den Datenschutz Niedersachsen, Anfertigung und Veröffentlichung von Personenfotografien nach dem 25.5.2018 im nicht-öffentlichen Bereich, http://www.lfd.niedersachsen.de/download/132460/Merkblatt_zur_Anfertigung_und_Veroeffentlichung_von_Personenfotografien_nach_dem_25._Mai_2018_im_nicht-oeffentlichen_Bereich.pdf; Golz/Gössling, IPRB 2018, 68, 70; Sundermann, K&R 2018, 438, 441f. m.w.N.; vgl. auch Louisa Specht, in: Sydow, DS-GVO, Art. 85 Rn. 11. 110OLG Köln, 18.6.2018 – 15 W 27/18, GRUR-Prax 2018, 383 m. Anm. Müller. 111So Bundesministerium des Innern, für Bau und Heimat (BMI), FAQs zur Datenschutzgrundverordnung; die Landesbeauftragte für den Datenschutz Niedersachsen, Anfertigung und Veröffentlichung von Personenfotografien nach dem 25.5.2018 im nicht-öffentlichen Bereich; Golz/Gössling, IPRB 2018, 68, 70; Paschke/Halder, jurisPR-ITR 15/2018 Anm. 3. 112So Bundesregierung, BT-Drs. 19/4421, S. 47, 48; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1061f.; Ziebarth/Elsaß, ZUM 2018, 578, 582–583; Golz/Gössling, IPRB 2018, 68, 72; Schulz/Heilmann, in: Gierschmann/Schlender/Stentzel/Veil, DS-GVO, Art. 85 Rn. 7; wohl auch, aber ohne Begründung Bundesministerium des Innern, für Bau und Heimat (BMI), FAQs zur Datenschutzgrundverordnung. 113Ähnlich klingt das bei BAG, 11.12.2014 – 8 AZR 1010/13, NJW 2015, 2140, 2141, Rn. 16, bei der Abgrenzung von BDSG a.F. und KUG an, bei der Veröffentlichung einer Videoaufnahme als Streitgegenstand gingen die Regelungen des KUG vor. 114In diese Richtung auch Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1059; ausführlich ferner Specht, in: Dreier/Schulze, UrhG, § 22 KUG Rn. 11ff. m.w.N. 115Specht, in: Dreier/Schulze, UrhG, § 22 KUG Rn. 12; Fricke, in: Wandtke/Bullinger, UrhG, § 22 KUG Rn. 9. 116So auch BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 3; vgl. die gleichlaufende Regelung nach der DSRl Art.-29-Datenschutzgruppe, WP 136, 24. 117Anders noch als § 3 Abs. 6 BDSG a.F. Verschiedene deutsche Landesgesetzgeber planen eine Definition von anonymen Daten bzw. der Anonymisierung in ihren Landesgesetzen (z.B. Brandenburg in § 3 BbgDSG-E, Hamburg in § 11 Abs. 2 Satz 1 HmbDSG, Hessen in § 2 Abs. 4 HDSIG-E, Nordrhein-Westfalen in § 38 Nr. 6 DSG NRW-E), was aufgrund der (wohl bewusst) fehlenden Definition in Art. 4 DSGVO europarechtlich zumindest fragwürdig ist; a.A. aber im Hinblick auf das SGB Bieresborn, NZS 2017, 887, 890. 118Vgl. mit Abweichungen im Detail § 3 BbgDSG; § 2 Abs. 4 BremDSG; § 11 Abs. 2 HmbDSG und LT-Drs. 21/11987, S. 10; § 4 DSG NRW; § 24 Nr. 18 DSG Nds; § 3 Abs. 2 S. 2 Nr. 4 Sächs. DSG; § 2 Abs. 7 DSG LSA; § 13 Abs. 2 Schleswig-Holsteinisches DSG; § 28 Abs. 3 ThürDSG. 119Ebenso Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 20; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 30; noch zur DSRl Art.-29-Datenschutzgruppe, WP 136, 24. 120So schon zur DSRl Art.-29-Datenschutzgruppe, WP 136, 24. 121Wójtowicz/Cebulla, PinG 2017, 186, 189, mit Verweis auf EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 46 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845; ähnlich Art.-29-Datenschutzgruppe, WP 216, 11: „nicht hinnehmbares Risiko einer Identifizierung“. 122Wójtowicz/Cebulla, PinG 2017, 186, 191, mit noch weiteren aufgelisteten Mitteln. 123Art.-29-Datenschutzgruppe, WP 216, 10; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 20. 124Karg, DuD 2015, 520, 526; Wójtowicz/Cebulla, PinG 2017, 186, 190; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 21; noch zur DSRl im Hinblick auf bestehende Restrisiken, Art.-29-Datenschutzgruppe, WP 216, 4, 28, 29f. 125Art.-29-Datenschutzgruppe, WP 216, wobei jeweils für die einzelnen Anonymisierungstechniken eine genaue Einordnung des Schutzniveaus erfolgt sowie häufige Fehler und Schwachstellen dargestellt werden; siehe auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 34; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 158ff.; Schefzig, K&R 2014, 772, 776. 126Art.-29-Datenschutzgruppe, WP 216, 3, 13ff. 127Wójtowicz/Cebulla, PinG 2017, 186, 191. 128Art.-29-Datenschutzgruppe, WP 216, 14ff. 129Art.-29-Datenschutzgruppe, WP 216, 14f. 130Art.-29-Datenschutzgruppe, WP 216, 16f. 131Art.-29-Datenschutzgruppe, WP 216, 17ff. 132Die deutschen Aufsichtsbehörden halten es z.B. für ausreichend, wenn das letzte Oktett der IP-Adressen überschrieben wird, da so eine zweifelsfreie Zuordnung zu einer natürlichen Person nicht mehr möglich sei: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Beanstandungsfreier Betrieb von Google Analytics ab sofort möglich (http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html; Bayerisches Landesamt für Datenschutzaufsicht, Onlineprüfung Adobe Analytics (Omniture), (http://www.lda.bayern.de/onlinepruefung/adobeanalytics.html). Zur Anonymisierung einer MAC-Adresse durch Kürzung der mit einem sog. „Salt“ versehenen MAC-Adresse in gehashter Form: Der Hessische Datenschutzbeauftragte, 43. Tätigkeitsbericht, 5.4.1; voraussetzend, dass die MAC-Adressen durch einen täglich wechselnden Hash-Schlüssel verrechnet werden: Bayerisches Landesamt für Datenschutzaufsicht, 6. Tätigkeitsbericht 2013/2014, S. 167. 133Art.-29-Datenschutzgruppe, WP 216, 34. 134Vgl. Art.-29-Datenschutzgruppe, WP 136, 25. 135Art.-29-Datenschutzgruppe, WP 136, 21. 136Vgl. insoweit VG Bayreuth, Beschl. v. 8.5.2018 – B 1 S 18.105, bei dem eine entsprechende Rückführung des gebildeten Hash-Werts offenbar gegeben war. 137Art.-29-Datenschutzgruppe, WP 216, 19. 138Art.-29-Datenschutzgruppe, WP 216, 19. 139Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 38f. 140So auch BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand:. 29.6.2020, S. 4. 141Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 12. 142Vgl. zur alten Rechtslage Dammann, in: Simitis, § 3 BDSG Rn. 27 i.V.m. 31. 143Vgl. das Beispiel der pharmazeutischen Forschungsdaten der Art.-29-Datenschutzgruppe, bei denen nur der der ärztlichen Schweigepflicht unterliegende Arzt die Patientennamen kennt; aus Sicht des die Daten verarbeitenden Pharmakonzerns sei unter den Umständen, dass weder zusätzliche Informationen zur Identifizierbarkeit vorliegen oder alle weiteren rechtlichen, technischen und organisatorischen Maßnahmen zur Verhinderung einer Re-Identifizierung getroffen wurden, von anonymen Daten auszugehen, Art.-29-Datenschutzgruppe, WP 136, 18. 144Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 29. 145Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 28. 146Rat der Europäischen Union, 2012/0011 (COD), 9565/15, S. 77. 147Vgl. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 47ff.; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14; OVG Hamburg, Beschl. v. 15.10.2020 – 5 Bs 152/20, BeckRS 2020, 30248 Rn. 21. 148Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 47. 149Siehe z.B. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 15; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 21. 150OVG Hamburg, Beschl. v. 15.10.2020 – 5 Bs 152/20, BeckRS 2020, 30248 Rn. 21. 151Siehe z.B. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 34. 152Siehe z.B. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 18. 153So auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 16. 154So aber z.B. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 50; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14. 155A. A. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14. 156A.A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 50. 157Hervorhebung durch die Verfasser. 158So auch OVG Hamburg, Beschl. v. 15.10.2020 – 5 Bs 152/20, BeckRS 2020, 30248 Rn. 22f., das in diesem Zusammenhang klarstellt, dass eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO zwar eine willensgetragene menschliche Aktivität, also eine Handlung, voraussetze (siehe hierzu oben Rn. 62). Hiervon sei aber der subjektive Verarbeitungswille zu unterscheiden, der eben keine Bedingung für das Vorliegen einer Verarbeitung sei. 159A.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 35, der eine Erhebung direkt von der betroffenen Person verlangt. Dieses Verständnis ist jedoch nicht mit Art. 14 DSGVO vereinbar, der ausdrücklich auch die Erhebung von Daten aus anderen Quellen als von der betroffenen Person vorsieht. 160A. A. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 161Siehe zu § 3 Abs. 3 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 102, 106f. Siehe zu Art. 4 Nr. 2 DSGVO z.B. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 162Siehe z.B. zu § 3 Abs. 3 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 102; zu Art. 4 Nr. 2 DSGVO z.B. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 35f.; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 163Siehe z.B. zu § 3 Abs. 3 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 104; zu Art. 4 Nr. 2 DSGVO z.B. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 36; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 164Siehe zu § 3 Abs. 3 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 104. 165Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 15; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21. 166Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 56; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 24; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 15; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 22; zu § 3 Abs. 4 Satz 1 Nr. 2 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 115. 167So auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 24f.; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 56, 61; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 42; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 24; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 15; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 16. 168Siehe z.B. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 58; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 17. 169Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 23; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 17. 170Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 23. 171So die umgangssprachliche Bedeutung des Wortes „ordnen“, siehe „ordnen“ auf Duden online, https://www.duden.de/node/155011/revision/155047; vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 23; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 59. 172Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 59; a.A. wohl Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 18. 173So auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 25; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 61; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 42; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 24. 174Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 24; a.A. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 19, der verlangt, dass die Aufbewahrung unter der Herrschaft des Verantwortlichen erfolgen müsse. 175OVG Hamburg, Beschl. v. 15.10.2020 – 5 Bs 152/20, BeckRS 2020, 30248 Rn. 21. Hiervon ist aber der Prozess der Einlagerung strikt zu unterscheiden. 176Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 26; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 27. 177Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 21. 178Siehe zu § 3 Abs. 4 Nr. 2 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 129. 179Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 45; vgl. auch zu § 3 Abs. 4 Nr. 2 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 129. 180Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 45; vgl. auch zu § 3 Abs. 4 Nr. 2 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 129; a.A. z.B. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 5. 181Siehe zu § 3 Abs. 4 Nr. 2 BDSG a.F. Gola/Schomerus, BDSG, § 3 Rn. 30. 182Vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 27. Vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 22. 183Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 64; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 27. 184A.A. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 28; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 47. 185Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 28, der auch das Erfassen vom Begriff der Verwendung ausnimmt. 186Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 48; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 29; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 28; a.A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 65ff. 187Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 48. 188Siehe zum Löschen durch Anonymisierung die Ausführungen unter Rn. 99ff. Allerdings ist nicht jede Anonymisierung als Löschung zu qualifizieren. Eine Veränderung liegt nach hier vertretener Ansicht i.d.R. nicht vor, siehe Rn. 78. 189Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 29; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Rn. 25. 190Vgl. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 31; BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218, 1221; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 49. 191Nach h.M. liegt bei der Kommunikation personenbezogener Daten von Unternehmen an ihre unselbstständigen Filialen etc. in einem Drittland aber wohl eine „Übermittlung an ein Drittland“ i.S.d. Art. 44ff. DSGVO vor (Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 44 Rn. 11 m.w.N.; a.A. zum BDSG a.F. Voigt, ZD 2014, 15, 19f.). Soweit man solche Stellen nicht als Empfänger qualifiziert (siehe Rn. 272), müsste dies mit dem Schutzzweck der Art. 44ff. DSGVO begründet werden. Nicht abschließend geklärt ist insbesondere, ob (auch dann) eine „Übermittlung an ein Drittland“ i.S.d. Art. 44ff. DSGVO vorliegt, wenn die (anschließende) Verarbeitung durch die unselbstständige Filiale etc. im Drittland gem. Art. 3 DSGVO der DSGVO unterliegt. 192A.A. z.B. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 29. Auch nach hier vertretener Ansicht sind sie allerdings als Empfänger zu qualifizieren, wenn sie die Daten für eigene Zwecke verarbeiten (siehe unten Rn. 272). 193BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218, 1221. 194A.A. nur beispielhafte Aufzählung: Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 18. 195Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 26; BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058. 196Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 50 m.w.N. 197So auch Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 70; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 31. 198EuGH, Urt. v. 6.11.2003 – Rs. C-101/01, ECLI:EU:C:2003:596 – Lindqvist. 199EuGH, Urt. v. 6.11.2003 – Rs. C-101/01, ECLI:EU:C:2003:596 Rn. 56ff., insbesondere Rn. 71 – Lindqvist. 200Siehe ausführlich hierzu: Moos, in: Moos/Arning/Schefzig, Daten als Geschäftsmodell, K&R Beihefter 3/2015, 12. 201Vgl. z.B. Sander/Schumacher/Kühne, ZD 2017, 105, 109; Moos, in: Moos/Arning/Schefzig, Daten als Geschäftsmodell, K&R Beihefter 3/2015, 13. 202Vgl. z.B. Sander/Schumacher/Kühne, ZD 2017, 105, 109; Moos, in: Moos/Arning/Schefzig, Daten als Geschäftsmodell, K&R Beihefter 3/2015, 13. 203Moos, in: Moos/Arning/Schefzig, Daten als Geschäftsmodell, K&R Beihefter 3/2015, 14 m.w.N. 204Vgl. hierzu auch Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 71. 205Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 26; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 32. 206Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 33; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69. 207So auch Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 70; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 31. 208Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 50 m.w.N. 209Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 31; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 52; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 27; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 72. 210Siehe z.B. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 32; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 52; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 34. 211Siehe ausführlich zur Zusammenführung von Datenbeständen bei verhaltensbezogener Online-Werbung: Arning/Moos, ZD 2014, 242. 212So wohl auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 32. 213Siehe z.B. Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 4 Rn. 47; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. 214Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 36 i.V.m. Art. 17 Rn. 37; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 30, der allerdings – im Gegensatz zur hier vertretenen Ansicht – eine irreversible Löschung verlangt; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410 m.w.N. 215Siehe z.B. Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 4 Rn. 47; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 17 Rn. 37ff.; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410 m.w.N.; ausführlich zur Löschung durch Anonymisierung: Stürmer, ZD 2020, 626, 628f.; Hornung/Wagner, ZD 2020, 223, 226; a.A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 75, nach dem beim Löschen – im Unterschied zur Vernichtung – der Datenträger körperlich erhalten und funktionsfähig bleiben muss. Dies würde aber nach hier vertretener Ansicht die Möglichkeiten des Verantwortlichen zur Löschung personenbezogener Daten gem. Art. 17 DSGVO unzulässig beschränken, da er dann verpflichtet wäre, bei jeder Löschung von Daten, den Datenträger zu erhalten. Dies entspricht aber nicht dem Sinn und Zweck des Art. 17 DSGVO (siehe auch Rn. 105), a.A. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 32, nach dem eine Löschung nicht durch Anonymisierung erreicht werden kann. 216Wójtowicz/Cebulla, PinG 2017, 186, 189, mit Verweis auf EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 46 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 845. 217Siehe hierzu schon Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410: In einigen Äußerungen scheint der Europäische Datenschutzausschuss das Erfordernis einer nichtreversiblen Anonymisierung anzunehmen: Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte (Version 2.0), S. 26 („irreversible Verpixelung des Bildes“, „keine Möglichkeit besteht, die in dem Bild enthaltenen personenbezogenen Daten nachträglich wiederherzustellen/wiederzuerlangen“); Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0), S. 25 („the controller shall make sure that it is not possible to re-identify anonymized data“). Andererseits verweist er bei Ausführungen zur Anonymisierung auf die Stellungnahme 5/2014 der Art.-29-Datenschutzgruppe zu Anonymisierungstechniken, in der diese nach hiesigem Verständnis auch die faktische Anonymisierung als hinreichend ansieht, an die einzelnen Anforderungen aber grundsätzlich strenge Anforderungen stellt, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0), S. 13 i.V.m. Art.-29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken WP 216, S. 5ff. Ganz generell sollte der Wortlaut der Äußerungen des EDSA und der Art.-29-Datenschutzgruppe in diesem Zusammenhang nach hiesiger Auffassung „nicht auf die Goldwaage“ gelegt werden, da diese nicht immer eindeutig zwischen nichtreversibler und faktischer Anonymisierung unterscheiden, siehe ausführlich hierzu: Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. 218Siehe ausführlich hierzu z.B. Stürmer, ZD 2020, 626, 627ff. So wohl auch Datenschutzbehörde, DSB-D123.270/0009-DSB/2018 vom 5.12.2018, https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00.pdf; so wohl zumindest unter gewissen Voraussetzungen auch Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 4, 8f., der zwar in den speziellen Ausführungen zur Löschung nach Art. 17 DSGVO nur Erwägungsgrund 26 S. 5 erwähnt, aus dem ggf. geschlussfolgert werden kann, dass eine nichtreversible Anonymisierung erforderlich ist, doch müssen auch diese speziellen Ausführungen bzgl. der Löschung durch Anonymisierung nach hiesigem Verständnis vor dem Hintergrund der schwerpunktmäßigen Erörterungen der Anonymisierung betrachtet werden, in denen der BfDI i.d.R. eine faktische Anonymisierung für ausreichend erachtet, siehe Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. Eine vollständige Anonymisierung verlangend z.B. Hunzinger, Das Löschen im Datenschutzrecht, S. 101f.; siehe hierzu auch Hornung/Wagner, ZD 2020, 223, 224 m.w.N.; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2 Rn. 32. 219Siehe auch schon Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. So auch Stürmer, ZD 2020, 626, 630; Datenschutzbehörde, DSB-D123.270/0009-DSB/2018 vom 5.12.2018, https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00.pdf; unklar: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 4; Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0), S. 13; Art.-29-Datenschutzgruppe, WP 216, S. 4, 29f. 220Stürmer, ZD 2020, 626, 630, nach der bei der Bewertung, ob Daten faktisch anonym sind, – durchaus überzeugend – aufgrund des in Erwägungsgrund 26 S. 3 und 4 statuierten Wahrscheinlichkeitsmaßstabs (nur) absehbare technologische Entwicklungen zu berücksichtigen sind. 221Stürmer, ZD 2020, 626, 630; Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 410. 222Stürmer, ZD 2020, 626, 627ff., die dies nach teleologischer Reduktion von Art. 9 Abs. 1 DSGVO auch für besondere Kategorien personenbezogener Daten annimmt; siehe auch Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.6.2020, S. 8f., nach dem die Anonymisierung nur dann auf Art. 6 Abs. 1 lit. c i.V.m. Art. 17 DSGVO gestützt werden kann, wenn die Daten rechtmäßig erhoben wurden; eher ablehnend, dass die Anonymisierung im fraglichen Fall auf die genannten Normen gestützt werden kann, sondern wohl Art. 6 Abs. 1 lit. f DSGVO insoweit als Rechtsgrundlage ansehend: Hornung/Wagner, ZD 2020, 223, 225f., die aber in diesem Zusammenhang auch eine teleologische Reduktion von Art. 9 Abs. 1 DSGVO befürworten (Hornung/Wagner, ZD 2020, 223, 228). 223Siehe z.B. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 34. 224So z.B. Reimer, in: Sydow, Europäische Datenschutz-Grundverordnung, Art. 4 Rn. 75; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 34; nicht eindeutig: Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 53ff. 225In der DSRl wurde der Begriff des Sperrens in Art. 2 lit. b DSRl im Rahmen der Definition der Verarbeitung als eine Form der Verarbeitung erwähnt. 226Rat der Europäischen Union, 2012/0011 (COD), 9565/15, S. 77. 227Vorschlag der Europäischen Kommission, 2012/0011 (COD), KOM(2012) 11 endgültig, S. 59f. 228Außerdem wird der Begriff noch in ErwG 156 erwähnt, der Art. 89 DSGVO (Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken) konkretisiert. Nach ErwG 156 sollen Mitgliedstaaten zu den genannten Zwecken Ausnahmen vom Recht auf Einschränkung der Verarbeitung vorsehen können. 229Art. 4 Nr. 3 DSGVO lautet in der englischsprachigen Fassung: „restriction of processing“ means the marking of stored personal data with the aim of limiting their processing in the future. In der französischsprachigen Fassung ist die Tautologie hingegen ebenfalls enthalten: „limitation du traitement“, le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur. 230Vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 3 Rn. 7. 231Siehe Änderungsantrag 98 des EU-Parlaments, Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)). 232Der in Art. 15 DSRl verwendete Begriff der „automatisierten Einzelentscheidung“ entspricht im Wesentlichen dem Begriff der automatisierten Entscheidung im Einzelfall gem. Art. 22 DSGVO. 233Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01). 234Es ist allerdings unklar, ob sich ErwG 60 nur auf automatisierte Einzelfallentscheidungen einschließlich Profiling i.S.d. Art. 22 Abs. 1 DSGVO bezieht oder auf Profiling i.S.d. Art. 4 Nr. 4 DSGVO. Für die zuerst genannte Auslegung spricht die Systematik der DSGVO, indem ErwG 60 Art. 13 und 14 DSGVO konkretisiert und diese ausdrücklich nur eine Information der betroffenen Person im Fall von automatisierten Einzelfallentscheidungen einschließlich Profiling vorsehen. Für die zuletzt genannte Auslegung spricht hingegen der Wortlaut von ErwG 60, der eine solche Beschränkung nicht enthält. 235Art. 13 und Art. 14 DSGVO enthalten Informationspflichten bei der Erhebung personenbezogener Daten. 236Art. 15 DSGVO – Auskunftsrecht der betroffenen Person. 237Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling. 238Art. 35 DSGVO – Datenschutz-Folgenabschätzung. 239Art. 47 DSGVO – Verbindliche interne Datenschutzvorschriften. 240Art. 70 DSGVO – Aufgaben des Ausschusses. 241Siehe z.B. auch Eschholz, DuD 2017, 180, 184. 242Taeger, RDV 2017, 3, 3f.; Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 8f.; Schulz, in: Gola, DS-GVO, Art. 22 Rn. 20; a.A. wohl Ehrig/Glatzner, PinG 2016, 211, 212. 243Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 13ff. 244Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7f. 245Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 3. 246Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 247Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 248Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. Siehe z.B. auch Härting, ITRB 2016, 9. 249Vgl. auch Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 250Buchner, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 4 Rn. 8. 251Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 93; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 29; Hullen, PinG 2015, 210, 210; zum etymologischen Aspekt des Pseudonyms Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 71 m.w.N. 252Vgl. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 94. 253Z.B. im Hinblick auf verwendete Positionsdaten siehe Johannes, ZD-Aktuell 2016, 05321. 254Hierzu z.B. Marnau, DuD 2016, 428, 429ff. 255Insbesondere im Hinblick auf die Public-Key-Infrastruktur siehe Weichert, SVR 2016, 361, 364. 256Hierzu z.B. Spindler, MedR 2016, 691, 695f. 257Hierzu z.B. Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6. 258Hierzu z.B. Martini/Weinzierl, NVwZ 2017, 1251, 1256ff.; Bechtolf/Vogt, in: Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, S. 873, 879f. 259Insbesondere Art.-29-Datenschutzgruppe, WP 136, und Art.-29-Datenschutzgruppe, WP 216. Ebenfalls lesenswert in diesem Zusammenhang Schwartmann/Weiß, Whitepaper zur Pseudonymisierung. 260So auch Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 30; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 3; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 20; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 97f.; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 13f., 27; Hofmann/Johannes, ZD 2017, 221, 223; wohl auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 12; a.A. aber Karg, DuD 2015, 520, 524. Wichtig ist aber, dass einige gängige Pseudonymisierungsverfahren Schwächen aufweisen und dementsprechend auch nach erfolgter Pseudonymisierung der Daten Identifizierungen möglich bleiben könnten, dazu Art.-29-Datenschutzgruppe, WP 216, 26ff. Zu den Besonderheiten der Informationspflichten nach Art. 13 und 14 DSGVO bei der Offenlegung pseudonymisierter Daten an Dritte Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 24. 261Vgl. Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 32; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6. 262Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 166; Knopp, DuD 2015, 527, 527. 263Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 303. 264„Utility trotz Privacy“, Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 19. 265Vgl. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 102 m.w.N. 266Roßnagel/Scholz, MMR 2000, 721, 727; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 103. 267Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 103; Art.-29-Datenschutzgruppe, WP 216, 26 empfiehlt generell, nie dasselbe Pseudonym in unterschiedlichen Datenbanken zu verwenden. 268Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 13; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 154; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 16; Eckhardt/Kramer, DuD 2013, 287, 288; noch zum BDSG a.F. Scholz, in: Simitis, BDSG, § 3 Rn. 219d; Härting, NJW 2013, 2065, 2067; kritisch aber Karg, DuD 2015, 520, 524. 269Piltz, K&R 2016, 557, 562, allgemein Art. 22 DSGVO und insbesondere Art. 32 und 35 DSGVO. 270Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 306. 271Die deutschen Aufsichtsbehörden gehen von einer Unanwendbarkeit der §§ 13ff. TMG ab Geltung der DSGVO aus (Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz), Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018, S. 2). 272So auch Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 8; a.A. aber Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 105; schon zur alten Rechtslage Caspar, ZRP 2015, 233, 234; Karg, ZD 2013, 245, 247f.; „in vielen Fällen“ Schantz, NJW 2016, 1841, 1841f. 273Vgl. Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6. 274In Deutschland z.B. § 27 Abs. 3 Satz 2 und 3 BDSG, § 40 AMG, § 2 Abs. 5 BremKHDSG, § 52 Abs. 3 MsbG, § 299 Abs. 1 Satz 4 Nr. 1 SGB V, § 5 Abs. 3 SigG und § 13 Abs. 6 Satz 1 TMG. 275„Letzteres führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung pseudonymisierter bzw. verschlüsselter Daten, was für datenschutzgerechte Big-Data-Anwendungen von Bedeutung ist“, Die Bundesbeauftragte für Datenschutz und Informationsfreiheit, BfDI-Info 6 Datenschutz-Grundverordnung, S. 11. 276Siehe auch ErwG 78 Satz 3 DSGVO. 277Hierbei wird auch die Verschlüsselung als mögliche Maßnahme genannt. 278Dazu ausführlich Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 17, 24f. 279EuGH, 16.7.2020 – C-311/18, ZD 2020, 511 – Schrems II m. Anm. Moos/Rothkegel. 280EDSA, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, v. 10.11.2020, Rn. 80. 281Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 32; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 73. 282So auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 41. 283Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 41; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 11. 284Vgl. Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 16f.; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 72; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 28; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 166f. 285Vgl. Art.-29-Datenschutzgruppe, WP 216, 27. 286Ernst, in: Paal/Pauly, DSGVO/BDSG, Art. 4 Rn. 43; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 6; vgl. auch Die Datenschutzbeauftragten des Bundes und der Länder, Arbeitspapier Datenschutzfreundliche Technologien, 4.2. 287Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 10; Piltz, K&R 2016, 557, 562. 288Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 10. 289Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 43. 290Anwendungsbeispiele entsprechend abgesicherter Datentrennungen finden sich bei Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 28ff. 291Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 30; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 170. 292Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 30. 293Vgl. Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 41; vgl. auch entsprechendes Vertragsmuster Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, Kap. 12 Rn. 40ff. 294Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 DSGVO, Rn. 45; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 7. 295Piltz, K&R 2016, 557, 562. 296Vgl. die Ausführungen bei Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 44, 47; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 7, 9f. 297Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 44; eine Liste von berücksichtigenswerten Risiko-Faktoren (z.B. wer das Pseudonym erstellt, die gewählte Methodik, die technisch-organisatorischen Maßnahmen etc.) findet sich bei Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 169. 298Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 47. 299Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 77; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 100. 300Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 300f. 301Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 74ff.; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 8; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 42; Roßnagel/Scholz, MMR 2000, 721, 725. 302„Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen, die jedoch eine allgemeine Analyse zulassen, bei demselben Verantwortlichen möglich sein, wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen hat, um – für die jeweilige Verarbeitung – die Umsetzung dieser Verordnung zu gewährleisten, wobei sicherzustellen ist, dass zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden.“ 303Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 3; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 303; Härting, DSGVO, Rn. 303f., interpretiert diesen ErwG hingegen so, dass die Trennung eine Auswertung unter erleichterten Voraussetzungen bewirkt. Ein Beispiel einer Pseudonymisierung für die Nutzung eines Unterhaltungsprodukts per Set-Up-Box siehe Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 28ff. 304So auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 8. 305Auch „Trusted Third Party (TTP)“ genannt; vgl. auch entsprechendes Vertragsmuster Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, Kap. 12 Rn. 40ff. 306Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 75; Roßnagel/Scholz, MMR 2000, 721, 725. 307Siehe dazu Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 40ff. 308Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 75; Roßnagel/Scholz, MMR 2000, 721, 725. 309Vgl. Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 10; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 42. Ein ausführliches Anwendungsbeispiel für den Bereich der medizinischen Forschung mit Patientendaten findet sich bei: Ein Beispiel einer Pseudonymisierung für die Nutzung eines Unterhaltungsprodukts per Set-Up-Box, siehe Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 40ff. 310Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 74; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 8; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 42; Roßnagel/Scholz, MMR 2000, 721, 725. 311Knapper Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 305: „Eine Pseudonymisierung erfolgt durch den Verantwortlichen“. 312EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842, 843, Rn. 38 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 842, 847. 313Siehe Art.-29-Datenschutzgruppe, WP 216, 24ff.; allgemein zur Pseudonymisierung Art.-29-Datenschutzgruppe, WP 136, 21ff. 314Die Datenschutzbeauftragten des Bundes und der Länder, Arbeitspapier Datenschutzfreundliche Technologien; ebenfalls hilfreich Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 17ff.; für den technischen Hintergrund siehe Bundesamt für Sicherheit in der Informationstechnik, Kryptographische Verfahren: Empfehlungen und Schlüssellänge; zum Einsatz im Unternehmen siehe Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 18ff.; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 166. 315Art.-29-Datenschutzgruppe, WP 136, 21; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 7. Zu häufigen Fehlern bei und Schwachstellen der Pseudonymisierung siehe Art.-29-Datenschutzgruppe, WP 216, 26ff. 316Die Datenschutzbeauftragten des Bundes und der Länder, Arbeitspapier Datenschutzfreundliche Technologien, 4.2; siehe das visuelle Beispiel bei Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 167. 317Die Datenschutzbeauftragten des Bundes und der Länder, Arbeitspapier Datenschutzfreundliche Technologien, 4.2. 318Ausführlich zu Verschlüsselungen Kroschwald, ZD 2014, 75; Stiemerling/Hartung, CR 2012, 60; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 17ff. 319Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 80; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 31. 320Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 179; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6f., welche die Pseudonymisierungswirkung der symmetrischen Verschlüsselung als kritisch betrachten. 321Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 33; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 179; vgl. Art.-29-Datenschutzgruppe, WP 136, 21; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 9. 322Art.-29-Datenschutzgruppe, WP 136, 21ff.; Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 32; Kroschwald, ZD 2014, 74, 78. 323Dazu Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 187. 324Art.-29-Datenschutzgruppe, WP 216, 24f.; vgl. Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6; Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 183. 325Art.-29-Datenschutzgruppe, WP 216, 24f. 326Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 1. 327Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 52. 328Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 5f. 329Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 310. 330Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 17. 331Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 3. 332Gola, in: Gola, DS-GVO, Art. 4 Rn. 43. 333Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 83; für das Genügen einer Ordnung nach nur einem Merkmal Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 6 Rn. 8. 334Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 3; Gola, in: Gola, DS-GVO, Art. 4 Rn. 44. 335Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 85; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 5; Gola, in: Gola, DS-GVO, Art. 4 Rn. 47; a.A. wohl Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 53; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 25. 336Gola, in: Gola, DS-GVO, Art. 4 Rn. 44; zur alten Rechtslage Dammann, in: Simitis, BDSG, § 3 Rn. 89ff. 337Schantz, in: Schantz/Wolff, Das neues Datenschutzrecht, Rn. 311. 338Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 84. 339Gola, in: Gola, DS-GVO, Art. 4 Rn. 44. 340Vgl. zuletzt auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 62 – Zeugen Jehovas. 341Im Ansatz ähnlich Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 6 Rn. 5; vgl. ferner oben Rn. 34. 342Vgl. Gola, in: Gola, DS-GVO, Art. 4 Rn. 46; Schreiber, in: Plath, DSGVO BDSG, Art. 4 Rn. 25. 343Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 311. 344Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 18. 345Düwell/Brink, NZA 2017, 1081, 1085. 346BT-Drs. 18/11325, S. 97. 347Wybitul, ZD-Aktuell 2017, 05483. 348Vgl. für diese und weitere Beispiele: Gola, BB 2017, 1462, 1472. 349So auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 7 Rn. 2. 350Insbesondere Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ v. 16.2.2010, WP 169, mittlerweile abgelöst durch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 1.0); EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591 – Facebook-Fanpages; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991 – Zeugen Jehovas. 351Vgl. Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 121f. 352Vgl. zu den Vorteilen einer Datenschutzorganisation Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 9ff. 353Moos/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 7 Rn. 7ff. 354Vgl. zu den einzelnen Pflichten des Auftragsverarbeiters nach der DS-GVO Moos/Cornelius, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 7 Rn. 20. 355Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 27, 29; Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 28 Rn. 3. 356Zur Frage, ob sich gemeinsam Verantwortliche als Dritte oder lediglich Empfänger gegenüberstehen, Rn. 233. 357Vgl. nachfolgend Rn. 186ff.; so auch implizit Art.-29-Datenschutzgruppe, WP 244 rev.01, 8; diesen Zusammenhang auch herausstellend Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 133, 134. 358Ausführlich zu den möglichen Adressaten Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 127–134. 359Lachenmann, in: FS Taeger, S. 277; näher zur Zuweisung der Verantwortlichkeit bei Nutzung (starker) intelligenter Systeme und der Konzeption einer e-Person als juristischen Person Kremer, in: FS Taeger, S. 255ff. 360Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 10. 361Vgl. so zu § 3 BDSG Gola/Schomerus, BDSG, § 3 Rn. 48; Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 359. 362Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 27. 363Ausführlich hierzu nachfolgend unter Rn. 182ff.; in diese Richtung auch Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 89. 364In diese Richtung auch Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 133, 134. 365Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 7 Rn. 11 m.w.N. 366So auch Kort, NZA 2015, 1345, 1347; Gola, in: Gola, DS-GVO, Art. 4 Rn. 55; in diese Richtung tendierend LfDI Baden-Württemberg, Tätigkeitsbericht 2018, 37; ausdrücklich offengelassen in BAG, NZA 2019, 1218, 1223, und NZA 2019, 1055, 1060. 367Vgl. BAG, Beschl. v. 11.11.1997 – 1 ABR 21/97 –, BAGE 87, 64 = NZA 1998, 385, 386. 368Zur Schwierigkeit, anhand dieser Kriterien eine Verantwortlichkeit im Rahmen dezentralisierter Strukturen (bspw. Blockchain-Systeme) und anderer komplexer Verarbeitungsszenarien zu bestimmen, Janicki, in: FS Taeger, S. 204ff. 369Die Entscheidungsbefugnis als entscheidendes Kriterium deklarierend Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 14. 370Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 14. 371Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 20ff. 372Hierzu nachfolgend Rn. 183. 373Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 11. 374Hierzu nachfolgend Rn. 188ff. 375Moos/Rothkegel, MMR 2018, 595, 597. 376So etwa § 79a Satz 2 BetrVG, § 11 Abs. 2 Satz 2 StBerG, § 307 SGB V; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 11f. 377Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 12f.; in diese Richtung auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70 – Zeugen Jehovas. 378Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 13; in diese Richtung auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 71 – Zeugen Jehovas. 379EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32 – Facebook-Fanpages; vgl. auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70, 71 – Zeugen Jehovas. 380EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32, 34, 37 – Facebook-Fanpages; vgl. auch EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70, 71 – Zeugen Jehovas. 381EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70–72 – Zeugen Jehovas; vgl. ferner Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 10. 382Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 13. 383EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 38 – Facebook-Fanpages; bestätigt in EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 69 – Zeugen Jehovas; hierzu auch Moos/Rothkegel, MMR 2018, 595, 598; Marosi/Matthé, ZD 2018, 357, 362. 384Vgl. Abgrenzung zur möglichen Entscheidungsbefugnis durch Auftragsverarbeiter Rn. 210. 385Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 14. 386Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 15f. 387Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 15f. 388Vgl. Rothkegel/Strassemeyer, CRi 2019, 161, 166. 389Ausführlich hierzu nachfolgend Rn. 253; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 16f. 390EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 43 – Facebook-Fanpages; EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 71ff. – Fashion ID; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 17. 391Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 26 Rn. 5f. 392Vgl. nachfolgend Rn. 196. 393Vgl. nachfolgend unten Rn. 197ff. 394Vgl. nachfolgend Rn. 207; in diese Richtung auch EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32 – Facebook-Fanpages. 395Lachenmann, in: FS Taeger, S. 278. 396EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591 – Facebook-Fanpages; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991 – Zeugen Jehovas; EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579 – Fashion ID. 397Vgl. Art. 2 lit. d RL 95/46/EG. 398EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 60 – Facebook-Fanpages; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 18f. 399Zur Frage, ob sich gemeinsam Verantwortliche als Dritte oder lediglich Empfänger gegenüberstehen, Rn. 274. 400Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 19f.; Hartung, in: Kühling/Buchner DS-GVO BDSG, Art. 26 Rn. 13; Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 26 Rn. 15; Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 26 Rn. 19. 401Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 19. 402Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 19f.; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 26 Rn. 16; Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 26 DSGVO Rn. 15. 403Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 21f. 404Piltz, in: Gola, DS-GVO, Art. 26 Rn. 9. 405Lachenmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kap. G V. 406EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32ff. – Facebook-Fanpages; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 67ff. – Zeugen Jehovas; Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 19–20; vgl. auch Europäischer Datenschutzausschuss, Guidelines 08/2020 on the targeting of social media users (Version 1.0), S. 10ff. 407Am Beispiel von Datenschnittstellen im Kontext von Insolvenzbekanntmachungen Heyer, in: FS Taeger, S. 192. 408EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 36, 39 – Facebook-Fanpages; EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 85 – Fashion ID; Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 17. 409Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 22f. 410Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 22f. 411Inwieweit auch komplementäre oder sich gegenseitig bedingende Interessen zu einer gemeinsamen Verantwortlichkeit führen können, ist bislang nicht entschieden; dies hatte Generalanwalt Bobek jedenfalls in seinen Schlussanträgen vertreten, ECLI:EU:C:2018:1039, Rn. 105. 412EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591 – Facebook-Fanpages m. Anm. Moos/Rothkegel. 413EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 36 – Facebook-Fanpages; ebenfalls hierin den Kernpunkt der Argumentation des EuGH sehend Marosi/Matthé, ZD 2018, 357, 361f.; zur Einordnung von Facebook-Fanpage-Betreibern als Diensteanbieter i.S.d. § 2 Satz 1 Nr. 1 TMG Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 1 Rn. 98.1f. 414EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 39 – Facebook-Fanpages. 415EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 36, 39 – Facebook-Fanpages. 416EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 38 – Facebook-Fanpages; bestätigt in EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 69 – Zeugen Jehovas; insofern hinsichtlich des nicht notwendigen Zugriffs zustimmend Moos/Rothkegel, MMR 2018, 595, 598; Marosi/Matthé, ZD 2018, 357, 362. 417EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32 – Facebook-Fanpages. 418EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 34, 37 – Facebook-Fanpages. 419EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 35, 41 – Facebook-Fanpages. 420EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 15ff. – Zeugen Jehovas. 421EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 20 – Zeugen Jehovas. 422EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas. 423EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas. 424EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68 – Zeugen Jehovas. 425EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68 – Zeugen Jehovas. 426EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 70 – Zeugen Jehovas. 427EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 16, 59, 70 – Zeugen Jehovas. 428EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 37 – Fashion ID. 429EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 77 – Fashion ID. 430EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 77, 80 – Fashion ID. 431Zu alledem EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80ff. – Fashion ID. 432EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80, 105 – Fashion ID; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas; EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 34 – Facebook-Fanpages; Europäischer Datenschutzausschuss, Guidelines 07/2020, S. 19f. 433Europäischer Datenschutzausschuss, Guidelines 09/2020, S. 19f. 434EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas. 435EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 77 – Fashion ID; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 71 – Zeugen Jehovas. 436EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID; EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 32ff., 60f. – Facebook-Fanpages. 437EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID; EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 68, 71 – Zeugen Jehovas; EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 40, 64f. – Facebook-Fanpages. 438Vgl. etwa EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID. 439EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 71f., 74, 85 – Fashion ID. 440Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 20, 22. 441So auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 20, 22. 442Vgl. zur getrennten Verantwortlichkeit Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 48ff. 443Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 22f.; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 26 Rn. 12. 444Vgl. etwa EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 72f. – Zeugen Jehovas. 445EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 60 – Facebook-Fanpages. 446Vgl. Europäischer Datenschutzausschuss, Guidelines 08/2020 on the targeting of social media users (Version 1.0), S. 11, 19ff. 447Europäischer Datenschutzausschuss, Guidelines 08/2020 on the targeting of social media users (Version 1.0), S. 19ff. 448EuGH, Urt. v. 29.7.2019 – C-40/17, MMR 2019, 579, Rn. 80 – Fashion ID. 449Moos/Rothkegel, MMR 2018, 595, 596; in diesem Zusammenhang auf die denkbare Unmöglichkeit einer Erfüllung datenschutzrechtlicher Pflichten hinweisend und sich in der Folge für eine zurückhaltende Annahme gemeinsamer Verantwortlichkeit aussprechen Janicki, in: FS Taeger, S. 213f. 450Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 45; Moos/Rothkegel, MMR 2018, 595, 596 m.w.N. 451Hierzu auch ausführlich Moos/Rothkegel, in: Moos, Datenschutz und Datennutzung, Kap. 5 S. 62ff. 452Vgl. EuGH, Urt. v. 5.6.2018 – C-210/16, MMR 2018, 591, Rn. 43 – Facebook-Fanpages; EuGH, Urt. v. 10.7.2018 – C-25/17, Rn. 66 – Zeugen Jehovas; ausführliche Kritik Moos/Rothkegel, MMR 2018, 595, 596f.; ebenfalls kritisch hinsichtlich der Formulierung des EuGH Marosi/Matthé, ZD 2018, 357, 363. 453EuGH, Urt. v. 10.7.2018 – C-25/17, NZA 2018, 991, Rn. 65 – Zeugen Jehovas. 454Vgl. insoweit auch Art.-29-Datenschutzgruppe, WP 171, 14. 455Moos/Rothkegel, MMR 2018, 595, 597. 456Vgl. oben Rn. 170. 457Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 50. 458Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 13ff. 459Schefzig, in: Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, S. 43, 47f. 460EuGH, Urt. v. 13.5.2014 – C-131/12, K&R 2014, 502 = GRUR 2014, 895, 898 – Google Spain; EuGH, Urt. v. 1.10.2015 – C-230/14, ZD 2015, 580, 582 – Weltimmo. 461Vgl. ErwG 36 Satz 8 zur DSGVO; Art.-29-Datenschutzgruppe, WP 244 rev.01, 5; EuGH, Urt. v. 13.5.2014 – C-131/12, K&R 2014, 502 = GRUR 2014, 895, 898 – Google Spain; so auch Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 66ff. 462Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 66. 463Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 66. 464So auch implizit Art.-29-Datenschutzgruppe, WP 244 rev.01, 8; in diese Richtung auch Raschauer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 133, 134; vgl. ferner Rn. 318ff. 465Vgl. Art.-29-Datenschutzgruppe, WP 244 rev.01, 6, 7; vgl. ferner nachfolgend Rn. 327–328. 466Der Verarbeitungsort ist kein ausschlaggebendes Kriterium zur Bestimmung der Hauptniederlassung und damit der Verantwortlichkeit, Moos, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 8 Rn. 69. 467Vgl. zur graduellen Abstufung datenschutzrechtlicher Verantwortlichkeit oben Rn. 195ff. 468Vgl. oben Rn. 183. 469Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 470Vgl. etwa Gola, in: Gola, DS-GVO, Art. 4 Rn. 83. 471So auch Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 50; in diese Richtung auch Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 89. 472Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 18. 473Schefzig, in: Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, S. 43, 46f. 474Vgl. Ehmann/Kranig, ZD 2018, 199, 201f. 475Zu alledem Schefzig, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 11 Rn. 178f. 476Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 8. 477Vgl. Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, Art. 4 Rn. 13. 478Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28f.; Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 28 Rn. 3; vgl. Kramer, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 8 Rn. 11. 479Ausführlich zum Streitstand Art. 28 Rn. 8–11. 480Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, § 7 B. III. 1. Rn. 31. 481Ausführlich hierzu Art. 28 Rn. 34ff. 482Siehe nachfolgend Rn. 202ff. 483Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 28 Rn. 38ff. 484Vgl. Eckhardt, CCZ 2017, 111, 116. 485Ausführlich zu den Pflichten des Auftragsverarbeiters Art. 28 Rn. 77–78. 486Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 17; Dovas, ZD 2016, 512, 516; Härting, ITRB 2016, 137, 137f.; Hofmann, ZD-Aktuell 2017, 05488; Müthlein, RDV 2016, 74, 84f. 487Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 25f. 488Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 25f. 489Vgl. zur Einordnung von freien Mitarbeitern Bergt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kap. C VII. 5; vgl. insoweit auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 490Vgl. zur Einordnung von freien Mitarbeitern Bergt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kap. C VII. 5. 491So aber wohl Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 28 Rn. 8; Plath, in: Plath, BDSG DSGVO, Art. 28 Rn. 2, Art. 29 Rn. 5; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 32; Wybitul/Schultze-Melling/Sörup, in: Wybitul, EU-Datenschutz-Grundverordnung im Unternehmen, 2016, S. 128, die die Auftragsverarbeitung auf technische Unterstützungsleistungen begrenzen wollen. 492Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26–27. 493Hierzu vgl. oben unter Rn. 188ff. 494Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 1.0), S. 26–27. 495Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26 i.V.m. 14f. 496Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 14f. 497Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 15. 498So auch Voigt/v. dem Bussche, DSGVO: Praktikerhandbuch, S. 23, wonach entscheidend ist, wer die Verarbeitung initiiert hat. 499Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 15. 500Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 26, 15. 501Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28, 16. 502Vgl. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 16. 503Vgl. Wortlaut des Art. 29 DSGVO „Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person [...] dürfen diese Daten ausschließlich auf Weisungen des Verantwortlichen verarbeiten [...].“. 504So auch Klug, in: Gola, DS-GVO, Art. 28 Rn. 5. 505Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 41. 506Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 28 Rn. 7. 507Vgl. oben Rn. 215ff. 508Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 28 Rn. 54. 509Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, § 7 B. III. 1. Rn. 25. 510Vgl. zur alten Rechtslage etwa Petri, in: Simitis, BDSG, § 11 Rn. 100. 511Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 28 Rn. 53. 512Moos/Rothkegel, in: Moos, Datenschutz- und Datennutzungsverträge, § 7 B. III. 1. Rn. 25; im Ergebnis auch Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 21, 37; Lissner, Auftragsdatenverarbeitung nach der DSGVO, in: Taeger, Smart World – Smart Law? Weltweite Netze mit regionaler Regulierung, S. 401, 414f., die ein Schutzdefizit des Betroffenen ausschließt, weil bei unbefugtem Zugriff der Dienstleister selbst als Verantwortlicher einzustufen wäre; a.A. Schmidt/Freund, ZD 2017, 14, 16f., die darauf abstellen, dass auch Wartungen nach Art. 4 Nr. 2 DSGVO „im Zusammenhang mit personenbezogenen Daten“ stattfinden und mithin erlaubnispflichtig sind; BayLDA, Kurzpapier 13 zur DS-GVO, Auftragsverarbeitung nach der DS-GVO, https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf. 513In diese Richtung auch Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII Kap. 2 Rn. 139, der Ausführungsformen für Wartung, Pflege und Services sieht, die Merkmale für Auftragsverarbeitung erfüllen, also Verarbeitungen im Auftrag eines Verantwortlichen erfolgen, insbesondere Tests mit Echtdaten. 514Vgl. EuGH, Urt. v. 19.10.2016 – C-582/14, K&R 2016, 811 = MMR 2016, 842 Rn. 46 m. Anm. Moos/Rothkegel; vgl. hierzu ausführlich oben Rn. 34ff. 515Vgl. Spoerr, in: Wolff/Brink, BeckOK DatenschutzR, Art. 28 Rn. 2. 516Auch unter dem BDSG-alt sprachen jedoch die besseren Gründe dafür, dass § 3 Abs. 8 Satz 3 BDSG a.F. richtlinienkonform dahingehend auszulegen war, dass die privilegierte Handhabung der Auftragsdatenverarbeitung auch auf im Drittland ansässige Auftragnehmer angewendet werden muss (vgl. etwa Weber/Voigt, ZD 2011, 74, 77; Plath, in: Plath, BDSG DSGVO, § 11 Rn. 14 m.w.N.). 517Plath, in: Plath, BDSG DSGVO, Art. 3 Rn. 6. 518Eckhardt, CCZ 2017, 111, 116. 519Siehe zur Gesetzgebungshistorie z.B. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 1. 520Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 521Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 522Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 29; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 68. 523Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69. 524Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69; vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 32. 525Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 33; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69. 526Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 6 i.V.m. Art. 4 Nr. 7 Rn. 9; vgl. im Hinblick auf den Verantwortlichen gem. Art. 4 Nr. 7 DSGVO auch: Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 10. 527Vgl. im Hinblick auf die Definition der verantwortlichen Stelle gem. Art. 2 lit. d DSRl: Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 19ff., wobei zu beachten ist, dass diese Stellungnahme durch neue Leitlinien des EDSA ersetzt wurde, Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 7f. 528Vgl. z.B. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 529Auch die Erläuterungen des EDSA zum Begriff des „Empfängers“ enthalten nach hier vertretener Lesart keine Stellungnahme zu dieser Frage. Insbesondere ist nach hier vertretener Ansicht die Aussage „The definition covers anyone who receives personal data [...]“ aufgrund der weiteren Ausführungen im dortigen Zusammenhang nicht dahingehend zu verstehen, dass sie zum Ausdruck bringen soll, dass auch Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen Empfänger sein sollen. So beziehen sich z.B. sämtliche dort genannten Beispiele auf externe Empfänger, Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 530Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 57; Regenhardt, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 156; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 3. 531Art. 13 Abs. 1 lit. e, Art. 14 Abs. 1 lit. e, Art. 15 Abs. 1 lit. c DSGVO lassen insoweit zumindest auch die Nennung von Gruppen von Empfängern zu. 532Siehe z.B. Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 492 m.w.N. 533So im Ergebnis z.B. auch Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 29; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 57; Gola, in: Gola, DS-GVO, Art. 4 Rn. 80; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 6; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Nr. 9 Rn. 102, der allerdings alle als Empfänger begreift, die nicht Dritte sind. Dies ist nach hier vertretener Ansicht aber nicht mit Art. 4 Nr. 9 DSGVO vereinbar, da die Eigenschaft des Empfängers gerade „unabhängig“ davon sein soll, ob es sich bei dieser Person bzw. Stelle auch um einen Dritten handelt oder nicht. Somit geht auch Art. 4 Nr. 9 DSGVO davon aus, dass eine Person bzw. Stelle zugleich ein Empfänger nach Art. 4 Nr. 9 DSGVO und ein Dritter gem. Art. 4 Nr. 10 DSGVO sein kann. 534BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218, 1221. 535Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 536Vgl. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 537Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 7; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 7. 538Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 7 m.w.N.; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 7. 539Siehe zur Gesetzgebungshistorie z.B. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 10 Rn. 2; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 3. 540Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controllerЧитать дальше