Datenschutz Hub

Enthält eine Wissenssammlung zum Datenschutzrecht in Deutschland, insbesondere der DSGVO und dem BDSG.

1.1 Gesetzestext

Der vollständige Text der DSGVO und des BDSG, untergliedert in Kapitel, Abschnitte und Paragrafen.

→ Zum Gesetzestext

1.2 Begriffe und Definitionen

Zentrale Begriffe des Datenschutzrechts, auf die immer wieder referenziert wird. Die Legaldefinitionen des Art. 4 DSGVO, jeweils als eigener Nachschlage-Eintrag.

→ Zu den Begriffen

• 1.2.1 Personenbezogene Daten: Art. 4 Nr. 1 DSGVO: Anwendungsschwelle des Datenschutzrechts; Identifizierbarkeit, Sachdaten, synthetische Daten, Abgrenzung zu anonymen Daten.
• 1.2.2 Verarbeitung: Art. 4 Nr. 2 DSGVO: umfassender Auffangbegriff für jeden Umgang mit Daten.
• 1.2.3 Einschränkung der Verarbeitung: Art. 4 Nr. 3 DSGVO: Markierung zur Begrenzung der künftigen Verarbeitung (frühere „Sperrung").
• 1.2.4 Profiling: Art. 4 Nr. 4 DSGVO: automatisierte Bewertung persönlicher Aspekte; Verhältnis zum Scoring.
• 1.2.5 Pseudonymisierung: Art. 4 Nr. 5 DSGVO: Trennung von Daten und Identität; Abgrenzung zur Anonymisierung.
• 1.2.6 Dateisystem: Art. 4 Nr. 6 DSGVO: strukturierte Sammlung, die auch manuelle Akten erfasst.
• 1.2.7 Verantwortlicher: Art. 4 Nr. 7 DSGVO: wer über Zwecke und Mittel entscheidet; Normadressat der DSGVO.
• 1.2.8 Auftragsverarbeiter: Art. 4 Nr. 8 DSGVO: Verarbeitung im Auftrag mit eigenen Pflichten und Haftung.
• 1.2.9 Empfänger: Art. 4 Nr. 9 DSGVO: jede Stelle, der Daten offengelegt werden.
• 1.2.10 Dritter: Art. 4 Nr. 10 DSGVO: Stelle außerhalb der verantwortlichen Stelle; kein Konzerndatenschutz.
• 1.2.11 Einwilligung: Art. 4 Nr. 11 DSGVO: freiwillige, informierte Willensbekundung als Rechtsgrundlage.
• 1.2.12 Verletzung des Schutzes personenbezogener Daten: Art. 4 Nr. 12 DSGVO: Sicherheitsverletzung als Auslöser der Meldepflichten.
• 1.2.13 Genetische Daten: Art. 4 Nr. 13 DSGVO: Daten aus der Analyse einer biologischen Probe.
• 1.2.14 Biometrische Daten: Art. 4 Nr. 14 DSGVO: technisch gewonnene Daten zur eindeutigen Identifizierung.
• 1.2.15 Gesundheitsdaten: Art. 4 Nr. 15 DSGVO: Daten zum körperlichen oder geistigen Gesundheitszustand.

1.3 Einzelthemen

Einzelne Themen der DSGVO.

→ Zur Übersicht Einzelthemen

1.3.1 Anwendungsbereich der DSGVO

Sachlicher und räumlicher Anwendungsbereich der DSGVO, Vorliegen personenbezogener Daten, Verarbeitung, Art. 2, 3 DSGVO.

1.3.2 Rechtsgrundlagen der Verarbeitung

Aufbau und Systematik des Art. 6 DSGVO: Verbot mit Erlaubnisvorbehalt, abschließender Katalog der Erlaubnistatbestände, Erforderlichkeitsprinzip, Verhältnis zu den Öffnungsklauseln und zum Zweckbindungsgrundsatz.

• 1.3.2.1 Einwilligung: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO: Bedeutung, Wirksamkeitsvoraussetzungen, Verhältnis zu den gesetzlichen Erlaubnistatbeständen und zu vertraglichen Zustimmungserklärungen.
• 1.3.2.2 Vertrag und vorvertragliche Maßnahmen: Rechtmäßigkeit nach Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung und vorvertragliche Maßnahmen, unionsrechtlicher Begriff der Erforderlichkeit, Abgrenzung zu Einwilligung und Nutzungsbedingungen, typische Fallgruppen im Online-Kontext.
• 1.3.2.3 Rechtliche Verpflichtung: Rechtmäßigkeit nach Art. 6 Abs. 1 lit. c DSGVO: rechtliche Verpflichtung des Verantwortlichen, Anforderungen an die unions- oder mitgliedstaatliche Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO.
• 1.3.2.4 Lebenswichtige Interessen: Rechtmäßigkeit nach Art. 6 Abs. 1 lit. d DSGVO: Schutz lebenswichtiger Interessen, Subsidiarität und Verhältnis zum Selbstbestimmungsrecht.
• 1.3.2.5 Öffentliches Interesse und öffentliche Gewalt: Rechtmäßigkeit nach Art. 6 Abs. 1 lit. e DSGVO: Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder Ausübung öffentlicher Gewalt.
• 1.3.2.6 Berechtigte Interessen: Rechtmäßigkeit nach Art. 6 Abs. 1 lit. f DSGVO: dreistufige Prüfung (Interesse - Erforderlichkeit - Abwägung), Behördenausschluss, Fallgruppen.
• 1.3.2.7 Zweckänderung: Zweckänderung nach Art. 6 Abs. 4 DSGVO: Funktion und Rechtsnatur, Kompatibilitätstest, Sonderfall Archiv-, Forschungs- und Statistikzwecke.
• 1.3.2.8 Öffnungsklauseln und nationales Recht: Öffnungsklauseln der Art. 6 Abs. 2, 3 DSGVO und deren Ausfüllung durch das nationale Recht (BDSG, Landes-Datenschutzgesetze, TDDDG).

1.3.3 Grundsätze der Verarbeitung

Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO. Einordnung, Rechtsnatur, Verhältnis zu Art. 6 DSGVO, Adressaten, Ausnahmen nach Art. 23, 85 DSGVO sowie Bußgeldbewehrung.

• 1.3.3.1 Rechtmäßigkeit: Grundsatz der rechtmäßigen Verarbeitung nach Art. 5 Abs. 1 lit. a DSGVO als Verweis auf das Erfordernis einer Rechtsgrundlage gemäß Art. 6 DSGVO.
• 1.3.3.2 Treu und Glauben: Fairness-Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO: Rücksichtnahmepflicht, Verbot der Manipulation (u.a. Dark Patterns), Schutz vor unklaren und verdeckten Verarbeitungen.
• 1.3.3.3 Transparenz: Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO: retrospektive und prospektive Nachvollziehbarkeit, inhaltliche Anforderungen an die Information der Betroffenen.
• 1.3.3.4 Zweckbindung: Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO: Pflicht zur Zweckfestlegung und Verbot der Weiterverarbeitung zu unvereinbaren Zwecken.
• 1.3.3.5 Datenminimierung: Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO: Erheblichkeit, Erforderlichkeit und Angemessenheit der verarbeiteten Daten.
• 1.3.3.6 Richtigkeit: Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO: Pflicht zur Richtigkeit und Aktualität, einschließlich Profiling, Werturteilen und automatisierten Entscheidungen.
• 1.3.3.7 Speicherbegrenzung: Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO: zeitliche Begrenzung der Speicherung, Lösch- und Überprüfungspflichten.
• 1.3.3.8 Integrität und Vertraulichkeit: Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO: Schutz vor unbefugter Verarbeitung, Verlust, Zerstörung und Schädigung durch technische und organisatorische Maßnahmen.
• 1.3.3.9 Rechenschaftspflicht: Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO (Accountability): Pflicht zur Einhaltung und zum Nachweis der Grundsätze des Absatzes 1.

1.3.4 Betroffenenrechte

Rechte der betroffenen Personen nach Art. 12, 15-23 DSGVO (u.a. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

1.3.5 Transparenzpflichten

Informations- und Transparenzpflichten des Verantwortlichen nach Art. 12-14 DSGVO.

1.3.6 Datenschutzrechtliche Rollen

Übersicht über die Akteure der DSGVO und ihre Pflichten und Verantwortlichkeiten.

• 1.3.6.1 Verantwortlicher: Der Verantwortliche als zentrale Figur der DSGVO, Art. 4 Nr. 7, Art. 24 DSGVO.
• 1.3.6.2 Unterstellte Personen: Dem Verantwortlichen oder Auftragsverarbeiter unterstellte Personen, die Zugang zu personenbezogenen Daten haben, Art. 29 DSGVO.
• 1.3.6.3 Auftragsverarbeiter: Auftragsverarbeitung und die Pflichten des Auftragsverarbeiters, Art. 28 DSGVO.
• 1.3.6.4 Gemeinsam Verantwortliche: Gemeinsame Verantwortlichkeit mehrerer Stellen, Art. 26 DSGVO.

1.3.7 Verzeichnis von Verarbeitungstätigkeiten

Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO.

• 1.3.7 Verzeichnis von Verarbeitungstätigkeiten: Pflichtinhalte für Verantwortliche und Auftragsverarbeiter, Form, Vorlagepflicht, KMU-Ausnahme nach Abs. 5 und Reformvorschlag COM(2025) 501.

1.3.8 Datenschutzbeauftragter

Benennung, Stellung und Aufgaben des Datenschutzbeauftragten, Art. 37-39 DSGVO, §§ 38 f. BDSG.

1.3.9 Datensicherheit

Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, Art. 32 DSGVO.

1.3.10 Datenschutz-Folgenabschätzung

Voraussetzungen, Durchführung und Dokumentation der Datenschutz-Folgenabschätzung, Art. 35, 36 DSGVO.

1.3.11 Bußgelder

Bußgelder und Sanktionen nach der DSGVO, Art. 83, 84 DSGVO.

1.3.12 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Verarbeitung besonderer („sensibler") Kategorien personenbezogener Daten nach Art. 9 DSGVO: grundsätzliches Verarbeitungsverbot, Zulässigkeitstatbestände, Verhältnis zu Art. 6 DSGVO, Öffnungsklauseln für mitgliedstaatliches Recht.

• 1.3.12.1 Sensible Datenkategorien (Art. 9 Abs. 1 DSGVO): Die neun Kategorien sensibler Daten und das grundsätzliche Verarbeitungsverbot; zweigliedrige Struktur, Bezugspunkt Verarbeitungskontext, Abgrenzungsfragen.
• 1.3.12.2 Zulässigkeitstatbestände (Art. 9 Abs. 2 und 3 DSGVO): Die zehn Ausnahmen von Abs. 2 lit. a-j und die personelle Einschränkung des Abs. 3; Verhältnis zu Art. 6 DSGVO, Öffnungsklauseln, geeignete Garantien.
• 1.3.12.3 Öffnungsklausel für mitgliedstaatliches Recht (Art. 9 Abs. 4 DSGVO): Zusätzliche nationale Bedingungen und Beschränkungen für genetische, biometrische und Gesundheitsdaten; Umsetzung in BDSG und bereichsspezifischem Recht (GenDG, SGB, IfSG, TPG, PAuswG).

1.4 Rechtsprechung

Urteile zum Datenschutzrecht, z.B. des EuGH, EuG, BGH und anderer deutscher Gerichte.

→ Zur Rechtsprechungsübersicht

• 1.4.1 BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Volkszählung: Leitentscheidung des BVerfG zum Recht auf informationelle Selbstbestimmung; Grundlage für Transparenz- und Richtigkeitsgrundsatz der DSGVO.
• 1.4.2 EuGH, Urt. v. 20.05.2003, C-465/00 u.a., Österreichischer Rundfunk: Veröffentlichung von Einkommensdaten öffentlich-rechtlicher Bediensteter; Anforderungen an Klarheit und Präzision der Rechtsgrundlage.
• 1.4.3 EuGH, Urt. v. 16.12.2008, C-524/06, Huber: Erforderlichkeit der Datenverarbeitung im zentralen Ausländerregister; proaktive Lösch- und Berichtigungspflicht.
• 1.4.4 EuGH, Urt. v. 07.05.2009, C-553/07, Rijkeboer: Dauer der Speicherung von Empfängern einer Datenübermittlung; Auslegung der Grundsätze im Hinblick auf Auskunftsrechte.
• 1.4.5 EuGH, Urt. v. 08.04.2014, C-293/12 u.a., Digital Rights Ireland: Vorratsdatenspeicherung; Anforderungen an klare und präzise Rechtsgrundlagen sowie an die Datensicherheit.
• 1.4.6 EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain: Herleitung des „Rechts auf Vergessenwerden" aus den Grundsätzen der Datenverarbeitung; Pflicht zur Löschung bei Verlust der Zweckrelevanz.
• 1.4.7 EuGH, Urt. v. 01.10.2015, C-201/14, Bara: Transparenzanforderungen bei Übermittlungen personenbezogener Daten zwischen Behörden.
• 1.4.8 EuGH, Urt. v. 20.12.2017, C-434/16, Nowak: Prüfungsantworten und Prüferkommentare als personenbezogene Daten; Grenzen des Berichtigungsanspruchs bei zeitbezogenen Daten.
• 1.4.9 EuGH, Urt. v. 24.11.2011, C-468/10 u. C-469/10, ASNEF: Abschließender Charakter des Erlaubniskatalogs und Interessenabwägung nach der DSRL; maßgeblich für Art. 6 Abs. 1 lit. f DSGVO.
• 1.4.10 EuGH, Urt. v. 01.10.2019, C-673/17, Planet49: Anforderungen an eine wirksame Einwilligung im Online-Kontext (aktives Handeln, keine vorausgefüllten Kästchen).
• 1.4.11 EuGH, Urt. v. 11.12.2019, C-708/18, Asociaţia de Proprietari: Videoüberwachung im Mehrfamilienhaus; dreistufige Prüfung nach Art. 6 Abs. 1 lit. f DSGVO und restriktive Auslegung der Erforderlichkeit.
• 1.4.12 EuGH, Urt. v. 04.05.2017, C-13/16, Rīgas satiksme: Auslegung von Art. 7 lit. f DSRL (Vorgängervorschrift zu Art. 6 Abs. 1 lit. f DSGVO); dreistufige Prüfung und Erforderlichkeit.
• 1.4.13 EuGH, Urt. v. 29.07.2019, C-40/17, Fashion ID: Rechtmäßigkeit der Einbindung von Social-Plugins; berechtigte Interessen bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO.
• 1.4.14 EuGH, Urt. v. 24.09.2019, C-136/17, GC u.a./CNIL: Auslistungsbegehren gegen Suchmaschinenbetreiber; normativer Vorrang von Datenschutz und Privatsphäre bei namensbasierter Suche.
• 1.4.15 EuGH, Urt. v. 01.08.2022, C-184/20, Vyriausioji tarnybinės etikos komisija: Erlaubniskatalog des Art. 6 Abs. 1 DSGVO ist erschöpfend; Veröffentlichung von Interessenerklärungen im Internet und besondere Kategorien nach Art. 9 DSGVO.
• 1.4.16 EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt: Reichweite des Erforderlichkeitskriteriums bei Art. 6 Abs. 1 lit. b und f DSGVO; „objektiv unerlässlich" statt bloß „nützlich"; Wechselwirkung mit Art. 9 DSGVO.
• 1.4.17 EuGH, Urt. v. 30.03.2023, C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer: Reichweite nationaler Spezialregelungen im Beschäftigtendatenschutz (§ 23 HDSIG, § 26 BDSG) und Grenzen der Öffnungsklauseln.
• 1.4.18 EuGH, Urt. v. 02.03.2023, C-268/21, Norra Stockholm Bygg: Weiterverarbeitung zu neuen Zwecken und Art. 6 Abs. 4 DSGVO; Anforderungen an Erforderlichkeit und Verhältnismäßigkeit.
• 1.4.19 EuGH, Urt. v. 08.12.2022, C-180/21, Inspectoratul General pentru Imigrări: Verarbeitung durch Behörden in gerichtlichen Verfahren; Abgrenzung Art. 6 Abs. 1 lit. c und e DSGVO.
• 1.4.20 EuGH, Urt. v. 11.12.2014, C-212/13, Ryneš: Private Videoüberwachung und persönliche/familiäre Tätigkeit nach Art. 2 Abs. 2 lit. c DSGVO (damals DSRL).
• 1.4.21 BVerwG, Urt. v. 27.09.2018, 7 C 5/17: Anforderungen an nationale Rechtsgrundlagen für Datenverarbeitungen im öffentlichen Bereich; Grenzen genereller Auffangklauseln.
• 1.4.22 BVerwG, Urt. v. 27.03.2019, 6 C 2/18: Keine Anwendung von Art. 6 Abs. 1 lit. e DSGVO auf Private ohne Übertragungsakt; Anforderungen an die nationale Rechtsgrundlage.
• 1.4.23 BGH, Urt. v. 20.02.2018, VI ZR 30/17, Ärztebewertung III (Jameda): Interessenabwägung bei Bewertungsportalen; Neueinschätzung infolge veränderter Geschäftsmodelle.
• 1.4.24 EuGH, Urt. v. 27.10.2022, C-129/21, Proximus: Widerspruch gegen Direktwerbung und Weiterverwendung öffentlich zugänglicher Daten.
• 1.4.25 EuGH, Urt. v. 11.11.2020, C-61/19, Orange România: Anforderungen an eine vorformulierte Einwilligungserklärung; klare Abgrenzung von anderen Vertragspunkten, Beweislast des Verantwortlichen.
• 1.4.26 EuGH, Urt. v. 22.06.2021, C-439/19, Latvijas Republikas Saeima („B"): Verbesserung der Straßenverkehrssicherheit als öffentliches Interesse iSd Art. 6 Abs. 1 lit. e DSGVO; Einordnung von Verkehrsdelikten als Straftaten iSd Art. 10 DSGVO.
• 1.4.27 EuGH, Urt. v. 12.09.2024, C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio und Ökorenta: Richterrecht als rechtliche Verpflichtung iSd Art. 6 Abs. 1 lit. c DSGVO; Anforderungen an Klarheit, Vorhersehbarkeit und Verhältnismäßigkeit.
• 1.4.28 BGH, Beschl. v. 18.08.2020, 5 StR 175/20: Verwertbarkeit rechtswidrig erhobener Videoaufzeichnungen im Strafprozess trotz DSGVO-Verstoß; Abwägung im Einzelfall.
• 1.4.29 EuGH, Urt. v. 09.01.2025, C-394/23, Mousse: Erforderlichkeit nach Art. 6 Abs. 1 lit. f DSGVO; Widerspruchsrecht aus Art. 21 DSGVO ist bei der Erforderlichkeitsprüfung nicht zu berücksichtigen.
• 1.4.30 EuGH, Urt. v. 04.10.2024, C-446/21, Schrems/Meta: Reichweite des Begriffs sensibler Daten nach Art. 9 Abs. 1 DSGVO bei Werbung in sozialen Netzwerken; Auslegung der Ausnahme „offensichtlich öffentlich gemachter Daten" und Pflicht zur zeitlichen Begrenzung.
• 1.4.30 EuGH, Urt. v. 19.10.2016, C-582/14, Breyer: Dynamische IP-Adressen als personenbezogene Daten; Verarbeitung zur Gewährleistung der Funktionsfähigkeit einer öffentlich zugänglichen Website als berechtigtes Interesse nach Art. 7 lit. f DSRL.
• 1.4.31 EuGH, Urt. v. 04.10.2024, C-21/23, Lindenapotheke: Bestellung apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel erzeugt Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO; Verfolgung von Datenschutzverstößen durch Mitbewerber nach Lauterkeitsrecht.
• 1.4.31 EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération de reliquat de dette): Dreistufige Prüfung des Art. 6 Abs. 1 lit. f DSGVO bei Speicherung von Informationen aus öffentlichen Registern durch Wirtschaftsauskunfteien; Verhältnis zu Widerspruchs- und Löschungsrecht.
• 1.4.32 EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding (Scoring): Automatisierte Entscheidungsfindung und Profiling nach Art. 22 DSGVO; Grenzen mitgliedstaatlicher Ausgestaltung; Abwägung darf nicht vorweggenommen werden.
• 1.4.33 EuGH, Urt. v. 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond: Kommerzielles Interesse als berechtigtes Interesse iSd Art. 6 Abs. 1 lit. f DSGVO; Abwägung bei Übermittlung von Mitgliederdaten an Dritte, die Glücksspiele anbieten.
• 1.4.34 EuGH, Urt. v. 17.06.2021, C-597/19, M.I.C.M.: Berechtigtes Interesse Dritter an der Identifizierung von IP-Adressen zur Verfolgung von Urheberrechtsverletzungen; Auslegung des Art. 6 Abs. 1 lit. f DSGVO.
• 1.4.35 EuGH, Urt. v. 25.11.2021, C-102/20, StWL Städtische Werke Lauf a.d. Pegnitz: Begriff der Direktwerbung im Rahmen der ePrivacy-Richtlinie; als Nachrichten getarnte Werbeeinblendungen im E-Mail-Postfach sind Direktwerbung und bedürfen der Einwilligung.
• 1.4.36 BGH, Beschl. v. 23.06.2020, KVR 69/19, Facebook (Kartellverfahren): Kartellrechtliches Eilverfahren mit datenschutzrechtlicher Ausstrahlungswirkung: enge Auslegung der vertragscharakteristischen Leistung im Rahmen des Art. 6 Abs. 1 lit. b DSGVO.
• 1.4.39 EuGH, Urt. v. 04.05.2023, C-60/22, Bundesrepublik Deutschland (BAMF): Verstöße gegen Art. 26 DSGVO und Art. 30 DSGVO machen die Verarbeitung nicht rechtswidrig; Trennung von formeller Dokumentationspflicht und materieller Rechtmäßigkeit.
• 1.4.40 EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post: Auskunft nach Art. 15 Abs. 1 lit. c DSGVO: Verantwortlicher muss grundsätzlich die konkreten Empfänger nennen; Beschränkung auf Kategorien nur als eng umgrenzte Ausnahme.
• 1.4.41 EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas: Weiter Dateisystembegriff: handschriftliche, dezentral geführte Aufzeichnungen fallen unter den Dateibegriff, wenn die Daten nach Kriterien leicht wiederauffindbar sind; gemeinsame Verantwortlichkeit einer Religionsgemeinschaft.