# Datenschutz Hub

Wissenssammlung zum Datenschutzrecht in Deutschland, insbesondere der DSGVO und dem BDSG.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub
> Sprache: en



Enthält eine Wissenssammlung zum Datenschutzrecht in Deutschland, insbesondere der DSGVO und dem BDSG.

## 1.1 Gesetzestext [#11-gesetzestext]

Der vollständige Text der DSGVO und des BDSG, untergliedert in Kapitel, Abschnitte und Paragrafen.

[→ Zum Gesetzestext](/docs/dsgvo-hub/gesetzestext)

## 1.2 Begriffe und Definitionen [#12-begriffe-und-definitionen]

Zentrale Begriffe des Datenschutzrechts, auf die immer wieder referenziert wird. Die Legaldefinitionen des Art. 4 DSGVO, jeweils als eigener Nachschlage-Eintrag.

[→ Zu den Begriffen](/docs/dsgvo-hub/begriffe-und-definitionen)

* [1.2.1 Personenbezogene Daten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten): Art. 4 Nr. 1 DSGVO: Anwendungsschwelle des Datenschutzrechts; Identifizierbarkeit, Sachdaten, synthetische Daten, Abgrenzung zu anonymen Daten.
* [1.2.2 Verarbeitung](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.2-verarbeitung): Art. 4 Nr. 2 DSGVO: umfassender Auffangbegriff für jeden Umgang mit Daten.
* [1.2.3 Einschränkung der Verarbeitung](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.3-einschraenkung-der-verarbeitung): Art. 4 Nr. 3 DSGVO: Markierung zur Begrenzung der künftigen Verarbeitung (frühere „Sperrung").
* [1.2.4 Profiling](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.4-profiling): Art. 4 Nr. 4 DSGVO: automatisierte Bewertung persönlicher Aspekte; Verhältnis zum Scoring.
* [1.2.5 Pseudonymisierung](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.5-pseudonymisierung): Art. 4 Nr. 5 DSGVO: Trennung von Daten und Identität; Abgrenzung zur Anonymisierung.
* [1.2.6 Dateisystem](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.6-dateisystem): Art. 4 Nr. 6 DSGVO: strukturierte Sammlung, die auch manuelle Akten erfasst.
* [1.2.7 Verantwortlicher](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.7-verantwortlicher): Art. 4 Nr. 7 DSGVO: wer über Zwecke und Mittel entscheidet; Normadressat der DSGVO.
* [1.2.8 Auftragsverarbeiter](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.8-auftragsverarbeiter): Art. 4 Nr. 8 DSGVO: Verarbeitung im Auftrag mit eigenen Pflichten und Haftung.
* [1.2.9 Empfänger](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.9-empfaenger): Art. 4 Nr. 9 DSGVO: jede Stelle, der Daten offengelegt werden.
* [1.2.10 Dritter](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.10-dritter): Art. 4 Nr. 10 DSGVO: Stelle außerhalb der verantwortlichen Stelle; kein Konzerndatenschutz.
* [1.2.11 Einwilligung](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.11-einwilligung): Art. 4 Nr. 11 DSGVO: freiwillige, informierte Willensbekundung als Rechtsgrundlage.
* [1.2.12 Verletzung des Schutzes personenbezogener Daten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.12-verletzung-des-schutzes-personenbezogener-daten): Art. 4 Nr. 12 DSGVO: Sicherheitsverletzung als Auslöser der Meldepflichten.
* [1.2.13 Genetische Daten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.13-genetische-daten): Art. 4 Nr. 13 DSGVO: Daten aus der Analyse einer biologischen Probe.
* [1.2.14 Biometrische Daten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.14-biometrische-daten): Art. 4 Nr. 14 DSGVO: technisch gewonnene Daten zur eindeutigen Identifizierung.
* [1.2.15 Gesundheitsdaten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.15-gesundheitsdaten): Art. 4 Nr. 15 DSGVO: Daten zum körperlichen oder geistigen Gesundheitszustand.

## 1.3 Einzelthemen [#13-einzelthemen]

Einzelne Themen der DSGVO.

[→ Zur Übersicht Einzelthemen](/docs/dsgvo-hub/einzelthemen)

### 1.3.1 Anwendungsbereich der DSGVO [#131-anwendungsbereich-der-dsgvo]

Sachlicher und räumlicher Anwendungsbereich der DSGVO, Vorliegen personenbezogener Daten, Verarbeitung, Art. 2, 3 DSGVO.

[→ Zur Übersicht Anwendungsbereich](/docs/dsgvo-hub/einzelthemen/anwendungsbereich-der-dsgvo)

* [1.3.1.1 Sachlicher Anwendungsbereich (Art. 2 DSGVO)](/docs/dsgvo-hub/einzelthemen/anwendungsbereich-der-dsgvo/1.3.1.1-sachlicher-anwendungsbereich): Erfasste Verarbeitungsformen (automatisiert und dateibasiert), Bereichsausnahmen (nationale Sicherheit, Strafverfolgung/JI-RL, Haushaltsprivileg), öffentlicher und nichtöffentlicher Bereich, Medien- und Beschäftigtenprivileg.
* [1.3.1.2 Räumlicher Anwendungsbereich (Art. 3 DSGVO)](/docs/dsgvo-hub/einzelthemen/anwendungsbereich-der-dsgvo/1.3.1.2-raeumlicher-anwendungsbereich): Niederlassungsprinzip, Marktortprinzip und Beobachtung des Verhaltens, Flaggen- und Vertretungskonstellationen; keine Anknüpfung an die Unionsbürgerschaft.

### 1.3.2 Rechtsgrundlagen der Verarbeitung [#132-rechtsgrundlagen-der-verarbeitung]

Aufbau und Systematik des Art. 6 DSGVO: Verbot mit Erlaubnisvorbehalt, abschließender Katalog der Erlaubnistatbestände, Erforderlichkeitsprinzip, Verhältnis zu den Öffnungsklauseln und zum Zweckbindungsgrundsatz.

* [1.3.2.1 Einwilligung](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.1-einwilligung): Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO: Bedeutung, Wirksamkeitsvoraussetzungen, Verhältnis zu den gesetzlichen Erlaubnistatbeständen und zu vertraglichen Zustimmungserklärungen.
* [1.3.2.2 Vertrag und vorvertragliche Maßnahmen](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.2-vertrag-und-vorvertragliche-massnahmen): Rechtmäßigkeit nach Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung und vorvertragliche Maßnahmen, unionsrechtlicher Begriff der Erforderlichkeit, Abgrenzung zu Einwilligung und Nutzungsbedingungen, typische Fallgruppen im Online-Kontext.
* [1.3.2.3 Rechtliche Verpflichtung](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.3-rechtliche-verpflichtung): Rechtmäßigkeit nach Art. 6 Abs. 1 lit. c DSGVO: rechtliche Verpflichtung des Verantwortlichen, Anforderungen an die unions- oder mitgliedstaatliche Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO.
* [1.3.2.4 Lebenswichtige Interessen](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.4-lebenswichtige-interessen): Rechtmäßigkeit nach Art. 6 Abs. 1 lit. d DSGVO: Schutz lebenswichtiger Interessen, Subsidiarität und Verhältnis zum Selbstbestimmungsrecht.
* [1.3.2.5 Öffentliches Interesse und öffentliche Gewalt](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.5-oeffentliches-interesse-und-oeffentliche-gewalt): Rechtmäßigkeit nach Art. 6 Abs. 1 lit. e DSGVO: Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder Ausübung öffentlicher Gewalt.
* [1.3.2.6 Berechtigte Interessen](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.6-berechtigte-interessen): Rechtmäßigkeit nach Art. 6 Abs. 1 lit. f DSGVO: dreistufige Prüfung (Interesse - Erforderlichkeit - Abwägung), Behördenausschluss, Fallgruppen.
* [1.3.2.7 Zweckänderung](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.7-zweckaenderung): Zweckänderung nach Art. 6 Abs. 4 DSGVO: Funktion und Rechtsnatur, Kompatibilitätstest, Sonderfall Archiv-, Forschungs- und Statistikzwecke.
* [1.3.2.8 Öffnungsklauseln und nationales Recht](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.8-oeffnungsklauseln-und-nationales-recht): Öffnungsklauseln der Art. 6 Abs. 2, 3 DSGVO und deren Ausfüllung durch das nationale Recht (BDSG, Landes-Datenschutzgesetze, TDDDG).

### 1.3.3 Grundsätze der Verarbeitung [#133-grundsätze-der-verarbeitung]

Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO. Einordnung, Rechtsnatur, Verhältnis zu Art. 6 DSGVO, Adressaten, Ausnahmen nach Art. 23, 85 DSGVO sowie Bußgeldbewehrung.

* [1.3.3.1 Rechtmäßigkeit](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.1-rechtmaessigkeit): Grundsatz der rechtmäßigen Verarbeitung nach Art. 5 Abs. 1 lit. a DSGVO als Verweis auf das Erfordernis einer Rechtsgrundlage gemäß Art. 6 DSGVO.
* [1.3.3.2 Treu und Glauben](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.2-treu-und-glauben): Fairness-Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO: Rücksichtnahmepflicht, Verbot der Manipulation (u.a. Dark Patterns), Schutz vor unklaren und verdeckten Verarbeitungen.
* [1.3.3.3 Transparenz](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.3-transparenz): Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO: retrospektive und prospektive Nachvollziehbarkeit, inhaltliche Anforderungen an die Information der Betroffenen.
* [1.3.3.4 Zweckbindung](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.4-zweckbindung): Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO: Pflicht zur Zweckfestlegung und Verbot der Weiterverarbeitung zu unvereinbaren Zwecken.
* [1.3.3.5 Datenminimierung](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.5-datenminimierung): Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO: Erheblichkeit, Erforderlichkeit und Angemessenheit der verarbeiteten Daten.
* [1.3.3.6 Richtigkeit](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.6-richtigkeit): Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO: Pflicht zur Richtigkeit und Aktualität, einschließlich Profiling, Werturteilen und automatisierten Entscheidungen.
* [1.3.3.7 Speicherbegrenzung](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.7-speicherbegrenzung): Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO: zeitliche Begrenzung der Speicherung, Lösch- und Überprüfungspflichten.
* [1.3.3.8 Integrität und Vertraulichkeit](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.8-integritaet-und-vertraulichkeit): Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO: Schutz vor unbefugter Verarbeitung, Verlust, Zerstörung und Schädigung durch technische und organisatorische Maßnahmen.
* [1.3.3.9 Rechenschaftspflicht](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht): Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO (Accountability): Pflicht zur Einhaltung und zum Nachweis der Grundsätze des Absatzes 1.

### 1.3.4 Betroffenenrechte [#134-betroffenenrechte]

Rechte der betroffenen Personen nach Art. 12, 15-23 DSGVO (u.a. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

### 1.3.5 Transparenzpflichten [#135-transparenzpflichten]

Informations- und Transparenzpflichten des Verantwortlichen nach Art. 12 bis 14 DSGVO: Inhalt und Gestaltung der Datenschutzerklärung.

[→ Zur Übersicht Transparenzpflichten](/docs/dsgvo-hub/einzelthemen/transparenzpflichten)

* [1.3.5.1 Allgemeine Anforderungen (Art. 12 DSGVO)](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.1-allgemeine-anforderungen): Darstellungs- und Formanforderungen an die Information: präzise, transparent, verständlich und leicht zugänglich, klare und einfache Sprache, Form, Bildsymbole, Zeitpunkt und Rechtsfolgen eines Verstoßes.
* [1.3.5.2 Inhalt bei Direkterhebung (Art. 13 DSGVO)](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.2-inhalt-bei-direkterhebung): Pflichtangaben bei Erhebung beim Betroffenen (Abs. 1 und Abs. 2), Information bei Zweckänderung (Abs. 3) und die Ausnahme bereits vorhandener Informationen (Abs. 4).
* [1.3.5.3 Inhalt bei Dritterhebung (Art. 14 DSGVO)](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.3-inhalt-bei-dritterhebung): Zusätzliche Angaben (Datenkategorien, Quelle), Zeitpunkt der Information (Abs. 3), Zweckänderung sowie die vier Ausnahmen des Abs. 5.
* [1.3.5.4 Gestaltung und Praxis](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.4-gestaltung-und-praxis): Aufbau, Schichtenmodell, Detailtiefe je Angabe, Bereitstellungswege, typische Fehler, Aktualisierung und Checkliste.

### 1.3.6 Verantwortliche und Auftragsverarbeiter [#136-verantwortliche-und-auftragsverarbeiter]

Die datenschutzrechtlichen Rollen der DSGVO, ihre Abgrenzung nach Zwecken und Mitteln sowie die Pflichtenverteilung und Haftung.

[→ Zur Übersicht Verantwortliche und Auftragsverarbeiter](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter)

* [1.3.6.2 Verantwortlicher](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.2-verantwortliche): Begriff und weite Auslegung nach Art. 4 Nr. 7 DSGVO, Pflichten nach Art. 24 DSGVO sowie die unterstellten Personen nach Art. 29 DSGVO.
* [1.3.6.3 Gemeinsam Verantwortliche](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.3-gemeinsam-verantwortliche): Vorliegen einer gemeinsamen Verantwortlichkeit, Kriterien und Fallgruppen sowie die Vereinbarung über die Pflichtenverteilung nach Art. 26 DSGVO.
* [1.3.6.4 Auftragsverarbeiter](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter): Vorliegen einer Auftragsverarbeitung (Fallgruppen und Prüfschema) und der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

### 1.3.7 Verzeichnis von Verarbeitungstätigkeiten [#137-verzeichnis-von-verarbeitungstätigkeiten]

Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO.

* [1.3.7 Verzeichnis von Verarbeitungstätigkeiten](/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten): Pflichtinhalte für Verantwortliche und Auftragsverarbeiter, Form, Vorlagepflicht, KMU-Ausnahme nach Abs. 5 und Reformvorschlag COM(2025) 501.

### 1.3.8 Datenschutzbeauftragter [#138-datenschutzbeauftragter]

Benennung, Stellung und Aufgaben des Datenschutzbeauftragten, Art. 37-39 DSGVO, § 38 BDSG.

* [1.3.8 Datenschutzbeauftragter (Überblick)](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter): Funktion als Instrument der Selbstkontrolle, Einordnung der Regelungsbereiche.
* [1.3.8.1 Benennung](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.1-benennung): Pflicht nach Art. 37 Abs. 1 DSGVO und § 38 BDSG, freiwillige Benennung, Qualifikation, Modalitäten, Erlaubnispflicht externer Datenschutzbeauftragter nach dem RDG, Beendigung sowie Vertrag mit einem externen Datenschutzbeauftragten.
* [1.3.8.2 Stellung](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.2-stellung): Einbindung, Ressourcen, Weisungsfreiheit, Benachteiligungs- und Abberufungsverbot, Berichtslinie, Anrufungsrecht und Interessenkonflikt nach Art. 38 DSGVO.
* [1.3.8.3 Aufgaben](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.3-aufgaben): Unterrichtung und Beratung, Überwachung der Einhaltung, Beratung zur Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und risikobasierter Ansatz nach Art. 39 DSGVO.
* [1.3.8.4 Haftung](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.4-haftung): Kein Schadensersatz nach Art. 82 DSGVO, deliktische Haftung gegenüber Betroffenen, Innenhaftung des internen und externen Datenschutzbeauftragten sowie straf- und bußgeldrechtliche Verantwortung.

### 1.3.9 Datensicherheit [#139-datensicherheit]

Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, Art. 32 DSGVO.

### 1.3.10 Datenschutz-Folgenabschätzung [#1310-datenschutz-folgenabschätzung]

Voraussetzungen, Durchführung und Dokumentation der Datenschutz-Folgenabschätzung, Art. 35, 36 DSGVO.

[→ Zur Übersicht Datenschutz-Folgenabschätzung](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung)

* [1.3.10.1 Erforderlichkeit](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.1-erforderlichkeit): Schwellenwertanalyse nach Art. 35 DSGVO, Regelbeispiele des Abs. 3, Positiv- und Negativlisten der Aufsichtsbehörden, die neun Kriterien der Risikoprognose, Muss-Liste und Fallbeispiele sowie Ausnahmen nach Abs. 5 und Abs. 10.
* [1.3.10.2 Durchführung](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.2-durchfuehrung): Die sechs Schritte nach Art. 35 Abs. 7 DSGVO, Risikobewertung mit Schwere-, Wahrscheinlichkeits- und Risikomatrix, Bericht und Vorlagen, Überprüfung nach Abs. 11 und Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO.
* [1.3.10.3 Unternehmensinterne Organisation](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.3-unternehmensinterne-organisation): Rollen und Zuständigkeiten von Fachbereich, Datenschutzbeauftragtem, mitwirkenden Einheiten, Betroffenen und Auftragsverarbeitern sowie Vorschlag für ein internes Verfahren.

### 1.3.11 Bußgelder [#1311-bußgelder]

Bußgelder und Sanktionen nach der DSGVO, Art. 83, 84 DSGVO.

### 1.3.12 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) [#1312-besondere-kategorien-personenbezogener-daten-art-9-dsgvo]

Verarbeitung besonderer („sensibler") Kategorien personenbezogener Daten nach Art. 9 DSGVO: grundsätzliches Verarbeitungsverbot, Zulässigkeitstatbestände, Verhältnis zu Art. 6 DSGVO, Öffnungsklauseln für mitgliedstaatliches Recht.

* [1.3.12.1 Sensible Datenkategorien (Art. 9 Abs. 1 DSGVO)](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien): Die neun Kategorien sensibler Daten und das grundsätzliche Verarbeitungsverbot; zweigliedrige Struktur, Bezugspunkt Verarbeitungskontext, Abgrenzungsfragen.
* [1.3.12.2 Zulässigkeitstatbestände (Art. 9 Abs. 2 und 3 DSGVO)](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.2-zulaessigkeitstatbestaende): Die zehn Ausnahmen von Abs. 2 lit. a-j und die personelle Einschränkung des Abs. 3; Verhältnis zu Art. 6 DSGVO, Öffnungsklauseln, geeignete Garantien.
* [1.3.12.3 Öffnungsklausel für mitgliedstaatliches Recht (Art. 9 Abs. 4 DSGVO)](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.3-oeffnungsklausel-fuer-mitgliedstaatliches-recht): Zusätzliche nationale Bedingungen und Beschränkungen für genetische, biometrische und Gesundheitsdaten; Umsetzung in BDSG und bereichsspezifischem Recht (GenDG, SGB, IfSG, TPG, PAuswG).

### 1.3.13 Drittlandsübermittlung (Datenexport) [#1313-drittlandsübermittlung-datenexport]

Übermittlung personenbezogener Daten in unsichere Drittländer nach Kapitel 5 der DSGVO (Art. 44 bis 49 DSGVO): wann ein Datenexport vorliegt, Prüfschema und Instrumente zur Herstellung eines angemessenen Schutzniveaus.

[→ Zur Übersicht Drittlandsübermittlung](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung)

* [1.3.13.1 Ausnahmen nach Art. 49 DSGVO](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.1-ausnahmen-art-49): Wann ohne geeignete Garantien übermittelt werden darf (Einwilligung, Vertragserfüllung, Rechtsansprüche, öffentliches Interesse); enge Auslegung, nur gelegentliche Übermittlungen, Dokumentationspflicht.
* [1.3.13.2 EU-Standardvertragsklauseln und Transfer Impact Assessment](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.2-eu-standardvertragsklauseln): Die vier Module, Konstellationen, Delegationsmodell und Abschluss der Standardvertragsklauseln sowie das dreistufige Transfer Impact Assessment mit risikoorientierten Gesichtspunkten und Behandlung der Auftragsverarbeitungskette.
* [1.3.13.3 EU-US Data Privacy Framework](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.3-data-privacy-framework): Angemessenheitsbeschluss für zertifizierte US-Empfänger; Prüfung von Zertifizierung und Reichweite, kein Transfer Impact Assessment, vertragliche Absicherung.
* [1.3.13.4 Binding Corporate Rules](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.4-binding-corporate-rules): Verbindliche interne Datenschutzregeln für konzerninterne Übermittlungen (Controller- und Processor-BCR); Reichweite und Grenzen.
* [1.3.13.5 Konzerninterne Übermittlungen](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.5-konzerninterne-uebermittlungen): Rahmenvertrag (Data Transfer Agreement) mit Verteilerklausel und Data Transfer Directory, der Auftragsverarbeitung, gemeinsame Verantwortlichkeit, getrennte Verantwortliche und Drittlandsübermittlung für eine Unternehmensgruppe bündelt.

### 1.3.14 Automatisierte Einzelentscheidung (Art. 22 DSGVO) [#1314-automatisierte-einzelentscheidung-art-22-dsgvo]

Grundsätzliches Verbot ausschließlich automatisierter Einzelentscheidungen nach Art. 22 DSGVO: Tatbestand, Profiling und Scoring, Ausnahmen, Schutzmaßnahmen, sensible Daten und das Verhältnis zur KI-VO.

* [1.3.14 Automatisierte Einzelentscheidung (Art. 22 DSGVO)](/docs/dsgvo-hub/einzelthemen/1.3.14-automatisierte-einzelentscheidung): Tatbestand (Entscheidung, ausschließliche Automatisierung, rechtliche oder erhebliche Wirkung, Unterworfensein), Profiling und Scoring, Ausnahmen nach Abs. 2 (Vertrag, Rechtsvorschrift, Einwilligung), Schutzmaßnahmen nach Abs. 3, Rückausnahme für sensible Daten nach Abs. 4, Informations- und Auskunftsrechte sowie das Verhältnis zur KI-VO.

### 1.3.15 Datenschutzverletzung (Datenpanne) [#1315-datenschutzverletzung-datenpanne]

Umgang mit einer Verletzung des Schutzes personenbezogener Daten nach Art. 4 Nr. 12, 33, 34 DSGVO: Begriff, interner Ablauf, dreistufige Risikobewertung, Meldung an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen.

[→ Zur Übersicht Datenschutzverletzung](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung)

* [1.3.15.1 Erste Schritte und interner Ablauf](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.1-erste-schritte-und-interner-ablauf): Erkennen und Eindämmen, interne Meldung, Vorprüfung, ab wann die Verletzung bekannt ist und die 72-Stunden-Frist beginnt, Kenntniszurechnung in der Organisation sowie die Pflichten von Auftragsverarbeitern und gemeinsam Verantwortlichen.
* [1.3.15.2 Risikobewertung](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.2-risikobewertung): Dreistufiges Risikomodell und Rechtsfolgen, Gewinnung der Beurteilungsgrundlage, Risikoanalyse aus Schwere und Eintrittswahrscheinlichkeit, Risikomatrix, Fallbeispiele und Sonderfälle wie Verschlüsselung und vertrauenswürdiger Empfänger.
* [1.3.15.3 Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.3-meldung-an-die-aufsichtsbehoerde): Wann zu melden ist, Frist (unverzüglich, möglichst binnen 72 Stunden ab Kenntnis) und ihre Berechnung, zuständige und federführende Aufsichtsbehörde, Mindestinhalt nach Art. 33 Abs. 3 DSGVO, schrittweise und gebündelte Meldung sowie die Dokumentationspflicht nach Abs. 5.
* [1.3.15.4 Benachrichtigung der betroffenen Personen (Art. 34 DSGVO)](/docs/dsgvo-hub/einzelthemen/datenschutzverletzung/1.3.15.4-benachrichtigung-der-betroffenen): Wann bei hohem Risiko zu benachrichtigen ist, Inhalt und Form in klarer und einfacher Sprache, Frist sowie die Ausnahmen nach Art. 34 Abs. 3 DSGVO und die Anordnungsbefugnis der Aufsichtsbehörde.

## 1.4 Rechtsprechung [#14-rechtsprechung]

Urteile zum Datenschutzrecht, z.B. des EuGH, EuG, BGH und anderer deutscher Gerichte.

[→ Zur Rechtsprechungsübersicht](/docs/dsgvo-hub/rechtsprechung)

* [1.4.1 BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Volkszählung](/docs/dsgvo-hub/rechtsprechung/1.4.1-bverfg-volkszaehlung): Leitentscheidung des BVerfG zum Recht auf informationelle Selbstbestimmung; Grundlage für Transparenz- und Richtigkeitsgrundsatz der DSGVO.
* [1.4.2 EuGH, Urt. v. 20.05.2003, C-465/00 u.a., Österreichischer Rundfunk](/docs/dsgvo-hub/rechtsprechung/1.4.2-eugh-oesterreichischer-rundfunk): Veröffentlichung von Einkommensdaten öffentlich-rechtlicher Bediensteter; Anforderungen an Klarheit und Präzision der Rechtsgrundlage.
* [1.4.3 EuGH, Urt. v. 16.12.2008, C-524/06, Huber](/docs/dsgvo-hub/rechtsprechung/1.4.3-eugh-huber): Erforderlichkeit der Datenverarbeitung im zentralen Ausländerregister; proaktive Lösch- und Berichtigungspflicht.
* [1.4.4 EuGH, Urt. v. 07.05.2009, C-553/07, Rijkeboer](/docs/dsgvo-hub/rechtsprechung/1.4.4-eugh-rijkeboer): Dauer der Speicherung von Empfängern einer Datenübermittlung; Auslegung der Grundsätze im Hinblick auf Auskunftsrechte.
* [1.4.5 EuGH, Urt. v. 08.04.2014, C-293/12 u.a., Digital Rights Ireland](/docs/dsgvo-hub/rechtsprechung/1.4.5-eugh-digital-rights-ireland): Vorratsdatenspeicherung; Anforderungen an klare und präzise Rechtsgrundlagen sowie an die Datensicherheit.
* [1.4.6 EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain](/docs/dsgvo-hub/rechtsprechung/1.4.6-eugh-google-spain): Herleitung des „Rechts auf Vergessenwerden" aus den Grundsätzen der Datenverarbeitung; Pflicht zur Löschung bei Verlust der Zweckrelevanz.
* [1.4.7 EuGH, Urt. v. 01.10.2015, C-201/14, Bara](/docs/dsgvo-hub/rechtsprechung/1.4.7-eugh-bara): Transparenzanforderungen bei Übermittlungen personenbezogener Daten zwischen Behörden.
* [1.4.8 EuGH, Urt. v. 20.12.2017, C-434/16, Nowak](/docs/dsgvo-hub/rechtsprechung/1.4.8-eugh-nowak): Prüfungsantworten und Prüferkommentare als personenbezogene Daten; Grenzen des Berichtigungsanspruchs bei zeitbezogenen Daten.
* [1.4.9 EuGH, Urt. v. 24.11.2011, C-468/10 u. C-469/10, ASNEF](/docs/dsgvo-hub/rechtsprechung/1.4.9-eugh-asnef): Abschließender Charakter des Erlaubniskatalogs und Interessenabwägung nach der DSRL; maßgeblich für Art. 6 Abs. 1 lit. f DSGVO.
* [1.4.10 EuGH, Urt. v. 01.10.2019, C-673/17, Planet49](/docs/dsgvo-hub/rechtsprechung/1.4.10-eugh-planet49): Anforderungen an eine wirksame Einwilligung im Online-Kontext (aktives Handeln, keine vorausgefüllten Kästchen).
* [1.4.11 EuGH, Urt. v. 11.12.2019, C-708/18, Asociaţia de Proprietari](/docs/dsgvo-hub/rechtsprechung/1.4.11-eugh-asociatia-de-proprietari): Videoüberwachung im Mehrfamilienhaus; dreistufige Prüfung nach Art. 6 Abs. 1 lit. f DSGVO und restriktive Auslegung der Erforderlichkeit.
* [1.4.12 EuGH, Urt. v. 04.05.2017, C-13/16, Rīgas satiksme](/docs/dsgvo-hub/rechtsprechung/1.4.12-eugh-rigas-satiksme): Auslegung von Art. 7 lit. f DSRL (Vorgängervorschrift zu Art. 6 Abs. 1 lit. f DSGVO); dreistufige Prüfung und Erforderlichkeit.
* [1.4.13 EuGH, Urt. v. 29.07.2019, C-40/17, Fashion ID](/docs/dsgvo-hub/rechtsprechung/1.4.13-eugh-fashion-id): Rechtmäßigkeit der Einbindung von Social-Plugins; berechtigte Interessen bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO.
* [1.4.14 EuGH, Urt. v. 24.09.2019, C-136/17, GC u.a./CNIL](/docs/dsgvo-hub/rechtsprechung/1.4.14-eugh-gc-cnil): Auslistungsbegehren gegen Suchmaschinenbetreiber; normativer Vorrang von Datenschutz und Privatsphäre bei namensbasierter Suche.
* [1.4.15 EuGH, Urt. v. 01.08.2022, C-184/20, Vyriausioji tarnybinės etikos komisija](/docs/dsgvo-hub/rechtsprechung/1.4.15-eugh-vyriausioji): Erlaubniskatalog des Art. 6 Abs. 1 DSGVO ist erschöpfend; Veröffentlichung von Interessenerklärungen im Internet und besondere Kategorien nach Art. 9 DSGVO.
* [1.4.16 EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt](/docs/dsgvo-hub/rechtsprechung/1.4.16-eugh-meta-bundeskartellamt): Reichweite des Erforderlichkeitskriteriums bei Art. 6 Abs. 1 lit. b und f DSGVO; „objektiv unerlässlich" statt bloß „nützlich"; Wechselwirkung mit Art. 9 DSGVO.
* [1.4.17 EuGH, Urt. v. 30.03.2023, C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer](/docs/dsgvo-hub/rechtsprechung/1.4.17-eugh-hauptpersonalrat): Reichweite nationaler Spezialregelungen im Beschäftigtendatenschutz (§ 23 HDSIG, § 26 BDSG) und Grenzen der Öffnungsklauseln.
* [1.4.18 EuGH, Urt. v. 02.03.2023, C-268/21, Norra Stockholm Bygg](/docs/dsgvo-hub/rechtsprechung/1.4.18-eugh-norra-stockholm-bygg): Weiterverarbeitung zu neuen Zwecken und Art. 6 Abs. 4 DSGVO; Anforderungen an Erforderlichkeit und Verhältnismäßigkeit.
* [1.4.19 EuGH, Urt. v. 08.12.2022, C-180/21, Inspectoratul General pentru Imigrări](/docs/dsgvo-hub/rechtsprechung/1.4.19-eugh-inspectoratul-general): Verarbeitung durch Behörden in gerichtlichen Verfahren; Abgrenzung Art. 6 Abs. 1 lit. c und e DSGVO.
* [1.4.20 EuGH, Urt. v. 11.12.2014, C-212/13, Ryneš](/docs/dsgvo-hub/rechtsprechung/1.4.20-eugh-rynes): Private Videoüberwachung und persönliche/familiäre Tätigkeit nach Art. 2 Abs. 2 lit. c DSGVO (damals DSRL).
* [1.4.21 BVerwG, Urt. v. 27.09.2018, 7 C 5/17](/docs/dsgvo-hub/rechtsprechung/1.4.21-bverwg-7-c-5-17): Anforderungen an nationale Rechtsgrundlagen für Datenverarbeitungen im öffentlichen Bereich; Grenzen genereller Auffangklauseln.
* [1.4.22 BVerwG, Urt. v. 27.03.2019, 6 C 2/18](/docs/dsgvo-hub/rechtsprechung/1.4.22-bverwg-6-c-2-18): Keine Anwendung von Art. 6 Abs. 1 lit. e DSGVO auf Private ohne Übertragungsakt; Anforderungen an die nationale Rechtsgrundlage.
* [1.4.23 BGH, Urt. v. 20.02.2018, VI ZR 30/17, Ärztebewertung III (Jameda)](/docs/dsgvo-hub/rechtsprechung/1.4.23-bgh-jameda-aerztebewertung-iii): Interessenabwägung bei Bewertungsportalen; Neueinschätzung infolge veränderter Geschäftsmodelle.
* [1.4.24 EuGH, Urt. v. 27.10.2022, C-129/21, Proximus](/docs/dsgvo-hub/rechtsprechung/1.4.24-eugh-proximus): Widerspruch gegen Direktwerbung und Weiterverwendung öffentlich zugänglicher Daten.
* [1.4.25 EuGH, Urt. v. 11.11.2020, C-61/19, Orange România](/docs/dsgvo-hub/rechtsprechung/1.4.25-eugh-orange-romania): Anforderungen an eine vorformulierte Einwilligungserklärung; klare Abgrenzung von anderen Vertragspunkten, Beweislast des Verantwortlichen.
* [1.4.26 EuGH, Urt. v. 22.06.2021, C-439/19, Latvijas Republikas Saeima („B")](/docs/dsgvo-hub/rechtsprechung/1.4.26-eugh-b-latvijas-saeima): Verbesserung der Straßenverkehrssicherheit als öffentliches Interesse iSd Art. 6 Abs. 1 lit. e DSGVO; Einordnung von Verkehrsdelikten als Straftaten iSd Art. 10 DSGVO.
* [1.4.27 EuGH, Urt. v. 12.09.2024, C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio und Ökorenta](/docs/dsgvo-hub/rechtsprechung/1.4.27-eugh-htb-oekorenta): Richterrecht als rechtliche Verpflichtung iSd Art. 6 Abs. 1 lit. c DSGVO; Anforderungen an Klarheit, Vorhersehbarkeit und Verhältnismäßigkeit.
* [1.4.28 BGH, Beschl. v. 18.08.2020, 5 StR 175/20](/docs/dsgvo-hub/rechtsprechung/1.4.28-bgh-5-str-175-20): Verwertbarkeit rechtswidrig erhobener Videoaufzeichnungen im Strafprozess trotz DSGVO-Verstoß; Abwägung im Einzelfall.
* [1.4.29 EuGH, Urt. v. 09.01.2025, C-394/23, Mousse](/docs/dsgvo-hub/rechtsprechung/1.4.29-eugh-mousse): Erforderlichkeit nach Art. 6 Abs. 1 lit. f DSGVO; Widerspruchsrecht aus Art. 21 DSGVO ist bei der Erforderlichkeitsprüfung nicht zu berücksichtigen.
* [1.4.30 EuGH, Urt. v. 04.10.2024, C-446/21, Schrems/Meta](/docs/dsgvo-hub/rechtsprechung/1.4.30-eugh-schrems-meta): Reichweite des Begriffs sensibler Daten nach Art. 9 Abs. 1 DSGVO bei Werbung in sozialen Netzwerken; Auslegung der Ausnahme „offensichtlich öffentlich gemachter Daten" und Pflicht zur zeitlichen Begrenzung.
* [1.4.30 EuGH, Urt. v. 19.10.2016, C-582/14, Breyer](/docs/dsgvo-hub/rechtsprechung/1.4.37-eugh-breyer): Dynamische IP-Adressen als personenbezogene Daten; Verarbeitung zur Gewährleistung der Funktionsfähigkeit einer öffentlich zugänglichen Website als berechtigtes Interesse nach Art. 7 lit. f DSRL.
* [1.4.31 EuGH, Urt. v. 04.10.2024, C-21/23, Lindenapotheke](/docs/dsgvo-hub/rechtsprechung/1.4.31-eugh-lindenapotheke): Bestellung apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel erzeugt Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO; Verfolgung von Datenschutzverstößen durch Mitbewerber nach Lauterkeitsrecht.
* [1.4.31 EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération de reliquat de dette)](/docs/dsgvo-hub/rechtsprechung/1.4.38-eugh-schufa-liberation): Dreistufige Prüfung des Art. 6 Abs. 1 lit. f DSGVO bei Speicherung von Informationen aus öffentlichen Registern durch Wirtschaftsauskunfteien; Verhältnis zu Widerspruchs- und Löschungsrecht.
* [1.4.32 EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding (Scoring)](/docs/dsgvo-hub/rechtsprechung/1.4.32-eugh-schufa-scoring): Automatisierte Entscheidungsfindung und Profiling nach Art. 22 DSGVO; Grenzen mitgliedstaatlicher Ausgestaltung; Abwägung darf nicht vorweggenommen werden.
* [1.4.33 EuGH, Urt. v. 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond](/docs/dsgvo-hub/rechtsprechung/1.4.33-eugh-koninklijke-nederlandse-lawn-tennisbond): Kommerzielles Interesse als berechtigtes Interesse iSd Art. 6 Abs. 1 lit. f DSGVO; Abwägung bei Übermittlung von Mitgliederdaten an Dritte, die Glücksspiele anbieten.
* [1.4.34 EuGH, Urt. v. 17.06.2021, C-597/19, M.I.C.M.](/docs/dsgvo-hub/rechtsprechung/1.4.34-eugh-m-i-c-m): Berechtigtes Interesse Dritter an der Identifizierung von IP-Adressen zur Verfolgung von Urheberrechtsverletzungen; Auslegung des Art. 6 Abs. 1 lit. f DSGVO.
* [1.4.35 EuGH, Urt. v. 25.11.2021, C-102/20, StWL Städtische Werke Lauf a.d. Pegnitz](/docs/dsgvo-hub/rechtsprechung/1.4.35-eugh-stwl-pegnitz): Begriff der Direktwerbung im Rahmen der ePrivacy-Richtlinie; als Nachrichten getarnte Werbeeinblendungen im E-Mail-Postfach sind Direktwerbung und bedürfen der Einwilligung.
* [1.4.36 BGH, Beschl. v. 23.06.2020, KVR 69/19, Facebook (Kartellverfahren)](/docs/dsgvo-hub/rechtsprechung/1.4.36-bgh-facebook-kvr-69-19): Kartellrechtliches Eilverfahren mit datenschutzrechtlicher Ausstrahlungswirkung: enge Auslegung der vertragscharakteristischen Leistung im Rahmen des Art. 6 Abs. 1 lit. b DSGVO.
* [1.4.39 EuGH, Urt. v. 04.05.2023, C-60/22, Bundesrepublik Deutschland (BAMF)](/docs/dsgvo-hub/rechtsprechung/1.4.39-eugh-c-60-22-bamf): Verstöße gegen Art. 26 DSGVO und Art. 30 DSGVO machen die Verarbeitung nicht rechtswidrig; Trennung von formeller Dokumentationspflicht und materieller Rechtmäßigkeit.
* [1.4.40 EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post](/docs/dsgvo-hub/rechtsprechung/1.4.40-eugh-c-154-21-oesterreichische-post): Auskunft nach Art. 15 Abs. 1 lit. c DSGVO: Verantwortlicher muss grundsätzlich die konkreten Empfänger nennen; Beschränkung auf Kategorien nur als eng umgrenzte Ausnahme.
* [1.4.41 EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas](/docs/dsgvo-hub/rechtsprechung/1.4.41-eugh-zeugen-jehovas): Weiter Dateisystembegriff: handschriftliche, dezentral geführte Aufzeichnungen fallen unter den Dateibegriff, wenn die Daten nach Kriterien leicht wiederauffindbar sind; gemeinsame Verantwortlichkeit einer Religionsgemeinschaft.
* [1.4.42 EuGH, Urt. v. 01.10.2015, C-230/14, Weltimmo](/docs/dsgvo-hub/rechtsprechung/1.4.42-eugh-weltimmo): Weite Auslegung des Niederlassungsbegriffs für den räumlichen Anwendungsbereich (Art. 3 Abs. 1 DSGVO); eine feste Einrichtung mit minimaler, aber tatsächlicher Tätigkeit genügt; Grenzen der Sanktionsbefugnis nationaler Aufsichtsbehörden.
* [1.4.43 EuGH, Urt. v. 06.11.2003, C-101/01, Lindqvist](/docs/dsgvo-hub/rechtsprechung/1.4.43-eugh-lindqvist): Veröffentlichung personenbezogener Daten auf einer Internetseite ist Verarbeitung im Anwendungsbereich; das Haushaltsprivileg greift nicht bei Offenlegung gegenüber einer unbestimmten Öffentlichkeit; enge Auslegung der Bereichsausnahmen.
* [1.4.44 EuGH, Urt. v. 16.01.2024, C-33/22, Untersuchungsausschuss](/docs/dsgvo-hub/rechtsprechung/1.4.44-eugh-untersuchungsausschuss): Die DSGVO gilt grundsätzlich auch für einen parlamentarischen Untersuchungsausschuss; Ausnahme nur für Tätigkeiten der nationalen Sicherheit (Art. 2 Abs. 2 lit. a DSGVO).
* [1.4.45 EuGH, Urt. v. 22.06.2022, C-534/20, Leistritz](/docs/dsgvo-hub/rechtsprechung/1.4.45-eugh-leistritz): Der verschärfte deutsche Sonderkündigungsschutz für Datenschutzbeauftragte (§ 6 Abs. 4 BDSG) ist mit dem Abberufungsverbot des Art. 38 Abs. 3 S. 2 DSGVO vereinbar, solange die Ziele der DSGVO nicht beeinträchtigt werden.
* [1.4.46 EuGH, Urt. v. 09.02.2023, C-453/21, X-FAB](/docs/dsgvo-hub/rechtsprechung/1.4.46-eugh-x-fab): Interessenkonflikt nach Art. 38 Abs. 6 DSGVO bei der Übertragung von Aufgaben, die Zwecke und Mittel der Verarbeitung festlegen; Einzelfallprüfung; strengeres nationales Abberufungsrecht zulässig.
* [1.4.47 AGH NRW, Urt. v. 12.03.2021, 1 AGH 9/19](/docs/dsgvo-hub/rechtsprechung/1.4.47-agh-nrw-1-agh-9-19): Die rechtsberatenden Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO sind eine durch Gesetz erlaubte Rechtsdienstleistung (§ 1 Abs. 3 RDG); Erlaubnispflicht externer Datenschutzbeauftragter nach dem RDG.
* [1.4.48 LAG Hamm, Urt. v. 06.10.2022, 18 Sa 271/22](/docs/dsgvo-hub/rechtsprechung/1.4.48-lag-hamm-18-sa-271-22): Lohnabrechnung und Personalverwaltung für rund 80 Beschäftigte sind keine Kerntätigkeit iSd Art. 37 Abs. 1 lit. b DSGVO; freiwillig benannter Datenschutzbeauftragter ohne Sonderkündigungsschutz nach § 6 Abs. 4 BDSG.
* [1.4.49 EuGH, Urt. v. 05.06.2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein](/docs/dsgvo-hub/rechtsprechung/1.4.49-eugh-wirtschaftsakademie): Der Betreiber einer Facebook-Fanpage ist mit dem Netzwerk gemeinsam verantwortlich; Leitentscheidung zur weiten Auslegung der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO (keine gleichwertige Beteiligung, kein Datenzugang erforderlich).
* [1.4.50 EuGH, Urt. v. 16.07.2020, C-311/18, Schrems II](/docs/dsgvo-hub/rechtsprechung/1.4.50-eugh-schrems-ii): Der EU-US Privacy Shield ist ungültig; die Standardvertragsklauseln tragen nur mit ergänzender Einzelfallprüfung des Schutzniveaus im Drittland. Grundlage der Pflicht zum Transfer Impact Assessment.
* [1.4.51 EuGH, Urt. v. 06.10.2015, C-362/14, Schrems (Safe Harbor)](/docs/dsgvo-hub/rechtsprechung/1.4.51-eugh-schrems-i): Das Safe-Harbor-Abkommen ist unwirksam; die nationalen Aufsichtsbehörden dürfen Übermittlungen trotz Angemessenheitsentscheidung unabhängig prüfen. Auftakt der Kette von US-Angemessenheitsentscheidungen.
* [1.4.52 EuGH, Urt. v. 27.02.2025, C-203/22, Dun & Bradstreet Austria](/docs/dsgvo-hub/rechtsprechung/1.4.52-eugh-dun-bradstreet): Reichweite des Auskunftsrechts über die involvierte Logik einer automatisierten Entscheidung nach Art. 15 Abs. 1 lit. h DSGVO; Erläuterung von Verfahren und Grundsätzen statt Offenlegung des Algorithmus; In-Camera-Verfahren bei entgegenstehenden Geschäftsgeheimnissen.


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.