1. Freedom of Communication: The guidelines relating to the processing of data solely for journalistic purposes, the so-called media privilege is no more sharply defined. Article 80 of the GDPR is largely the same as Article 9 of the EU Data Protection Directive (DPD). Recital 121 makes it clear that according to the ECJ ruling, the provisions of the media privilege are open to wide interpretation. There is a lack of clear criteria on which to differentiate between personal data and freedom of expression as required by the decision of the European Court of Human Rights (ECHR) which states that the interests of Article 8 (the right to privacy) must be weighed against those of Article 10 of the European Commission on Human Rights (ECHR) (freedom of expression).
2. Subject matter: Data reflects the social reality. It is not a protected resource that is assigned – owned – by an individual. Article 1 of the GDPR is mainly concerned with protecting personal data and is therefore “data-fixated”. The subject matter is not clearly defined at all. Article 1 of the GDPR hardly differs from Article 1 of the DPD. Contrary to Article 1 of the DPD, the individual’s right to privacy is not mentioned at all as being protected by Article 1 of the GDPR. The wording of Article 1 of the GDPR is more likely than ever to lead to the misapprehension that data is to be protected for its own sake.
3. Yes or No Principle: The applicability of the data protection law is intended –as previously – to depend on whether or not the data is personal or not. This relationship is laid down on the Yes or No Principle. The definition of “personal” remains as unclear as before. Article 4 no. 1 of the GDPR suggests an objective (abstract) and thus broad definition. According to recital 24 sentence 2, online identifiers (i.e. internet protocol addresses) “need not necessarily or in all circumstances” be seen as personal data. Recital 24 thus suggests a subjective (relative) understanding of the definition of personal data. This is confusing and leads to the expectation that the scope of the GDPR will remain unclear.
4. Per se Illegality: Per se illegality is isolated and separated from fundamental freedoms as before (Article 6 of the GDPR). Data-based communication of personal data remains illegal. Per se illegality is in fact applied even more stringently through the provisions of Article 7 para. 4 of the GDPR, as the consent of the subject of the data to be processed (and transmitted) does not provide a legal basis for the processing, “where there is a significant imbalance between the position of the data subject and the controller”. This negates consent given by employees, insured persons and bank customers etc. and creates confusion as it is necessarily possible to demonstrate “imbalance” in every consumer contract.
5. Equal Treatment of all Data: The GDPR do not provide for any flexibility in the treatment of or any differentiation in type of data. Article 9 para.1 of the GDPR does list particularly sensitive data. This list is largely a repetition of Article 8 of the DPD and contains an incoherently collated collection of heterogeneous data of varying importance and sensitivity (from trade-union membership to genetic data). There is no common denominator or principle on which to base a premise for general use or application (the list is far too arbitrary to be conclusive). The level of protection applied is also only marginally greater than that awarded to far less sensitive data; for example, per se illegality is applied in the same measure to IP addresses as to sexual preference.
6. Privacy by Design: Article 23 para. 1 of the GDPR is intended to make “Privacy by Design” standard. In fact, this is nothing more than a proposal as the appropriate technical and organisational measures and procedures are to be implemented in such a way as to “meet the requirements of this regulation”. This is significantly weaker than the provisions of § 3 of the German Federal Data Protection Act (BDSG) which instructs processors to seek to attain data avoidance and data economy. Contrary to the provisions of § 3 a. of the BDSG, Article 23 para. 1 of the GDPR does not set any benchmarks that data processors should be striving to attain. This demonstrates quite clearly (among other things) that the lack of a concrete definition of the subject to be protected (see no. 1) automatically inhibits the deduction of concrete criteria for assessing risks and the necessity of preventative measures. Measures that would result in the real protection of privacy are not given.
7. Official Risk Assessment without Standards: In Article 33 of the GDPR, the data processor is required to make an assessment of the impact of the envisaged processing operations on the protection of personal data in cases of particularly “high risk” processing operations. There are no standards provided for this procedure. It is further complicated by the fact that Article 34 of the GDPR requires that in the case of particularly risky processes, permission be first obtained from the Data Protection agency. The Data Protection Agencies are thereby placed in the position of having to assess risks on the basis of no clear criteria. If the criteria for this assessment are not provided to public authorities, who are required to carry out the authorisation of such processes, these authorities will end up setting their own standards. In constitutional terms, this is most alarming.
8. Consent: The principle of per se illegality is to be retained (see no. 4). Consent as a key tool for circumventing processing prohibitions (Article 6 para. 1 lit. a in conjunction with Article 7 of the GDPR) is also to be retained. Independent decisions made by the affected persons, however, are at the same time viewed with suspicion: Article 7 para. 4 of the GDPR serves to negate consent as a legal basis for processing, “where there is a significant imbalance between the position of the data subject and the controller. The aim of increasing the individual autonomy is thereby weakened.
9. Transparency (Standards): It would be desirable and would lead to more transparency in the internet if standards were set for informing data subjects of the type, scope and purpose of the processing of their data. Article 14 of the GDPR unfortunately fails to provide any more transparency than the requirement to inform as set out in Articles 10 and 11 of the DPD, which are adopted, largely unchanged but with the addition of various instructions regarding procedural rights and remedies. Article 14 of the GDPR would also result in a weakening of current German Law as there is not even a (general) instruction regarding the „type and scope“ of processing permitted cf. § 13 para. 1 of the German Telemedia Law (TMG).
10. Sanctions: The GDPR would bring about a significant tightening up of implementation of data protection law. The draconian fines alone that are set out in Article 79 of the GDPR would lead one to expect this to be so. The GDPR exclusively empowers the supervisory authorities to enforce these sanctions. There are no new tools provided to individuals to assist them in protecting their privacy. Civil liability for data protection violations remains weak. Articles 77 and 78 of the GDPR adopt the provisions of Articles 23 and 24 of the DPD.
11. Stringency and Legal Certainty: Standardising of European data protection legislation by means of a regulation is to be welcomed. Without bold reforms of material rights the law cannot be strengthened in terms of stringency or logic. The GDPR will do little to contribute to legal certainty as regards data processing and protecting the individual right to privacy.

1. Kommunikationsfreiheit: Das datenschutzrechtliche „Medienprivileg“ erhält durch die DS-GVO keine Konturschärfe. Art. 80 DS-GVO entspricht im Wesentlichen Art. 9 DSRL (EG-Datenschutzrichtlinie). ErwG (Erwägungsgrund) 121 stellt zwar klar, dass das „Medienprivileg“ nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) weit auszulegen ist. Es fehlen jedoch materielle Kriterien für die Abwägung zwischen Persönlichkeitsrechten und freier Kommunikation, wie sie auch nach der Rspr. des EGMR in Abwägung von Art. 8 (Privatsphäre) und Art. 10 EMRK (Freiheit der Meinungsäußerung) stattzufinden hat.
2. Schutzgut: Daten sind ein Abbild sozialer Realität, die dem Einzelnen nicht – eigentumsähnlich – zugeordnet sind. Art. 1 DS-GVO bezieht Gegenstand und Ziele der DS-GVO und damit des Schutzes im Wesentlichen auf personenbezogene Daten, ist also „datenfixiert“. Das eigentlich zu schützende Gut wird nicht deutlich, fehlt sogar. Art. 1 DS-GVO unterscheidet sich nur wenig von Art. 1 DSRL. Anders als in Art. 1 DSRL bleibt die Privatsphäre als Schutzgegenstand in Art. 1 DS-GVO sogar unerwähnt. Die Formulierung des Art. 1 DS-GVO lädt noch mehr als bisher zu dem Missverständnis ein, dass Daten um ihrer selbst Willen geschützt werden.
3. Schwarz-Weiß-Prinzip: Die Anwendbarkeit des Datenschutzrechts soll – wie bisher – davon abhängig sein, ob Daten Personenbezug aufweisen. Dieser Bezug ist als „Schwarz-Weiß-Prinzip“ gefasst. Der Begriff des Personenbezugs bleibt zudem mindestens so unklar wie bisher. Art. 4 Nr. 1 DS-GVO legt eine objektive („abstrakte“) und somit weite Definition nahe. Nach ErwG 24 Satz 2 sollen indes „Online-Kennungen“ (d. h. IP-Adressen) „nicht zwangsläufig und unter allen Umständen“ als personenbezogen anzusehen sein. ErwG 24 legt somit ein subjektives („relatives“) Verständnis des Personenbezuges nahe. Dies ist verwirrend und lässt erwarten, dass auch der Geltungsbereich der DS-GVO unklar bleibt.
4. Verbotsprinzip: Das Verbotsprinzip wird genau so isoliert und von den Grundfreiheiten abgekoppelt geregelt wie bisher (Art. 6 DS-GVO). Es bleibt somit dabei, dass datengestützte Kommunikation grundsätzlich verboten ist, wenn Daten mit Personenbezug verwendet werden. Durch Art. 7 Abs. 4 DS-GVO wird das Verbotsprinzip sogar deutlich verschärft, da eine Einwilligung des Betroffenen die Datenverarbeitung (und Kommunikation) nur noch dann legitimieren soll, wenn es kein „erhebliches Ungleichgewicht zwischen Datenverarbeiter und Betroffenem“ gibt. Dies hebelt Einwilligungslösungen etwa gegenüber Arbeitnehmern, Versicherungsnehmern und Bankkunden aus und schafft Unklarheiten, da sich letztlich bei jedem Verbrauchervertrag ein „Ungleichgewicht“ feststellen lässt.
5. Gleichbehandlung aller Daten: Die DS-GVO lässt eine flexible Herangehensweise und eine Differenzierung verschiedener Datenkategorien vermissen. Zwar gibt es in Art. 9 Abs. 1 DS-GVO einen Katalog besonders sensibler Daten. Dieser Katalog entspricht im Wesentlichen Art. 8 Abs. 1 DSRL und enthält eine in ihrer Zusammensetzung unverständliche Aufzählung nach Gewicht und Brisanz höchst unterschiedlicher Daten (von der Gewerkschaftszugehörigkeit bis zur DNS). Es fehlt der gemeinsame Nenner, ein Prinzip, anhand dessen sich ein Obersatz zwecks genereller Anwendung und Auslegung bilden ließe (der Katalog ist zu willkürlich, um abschließend zu sein). Zudem unterscheidet sich die Schutzdichte nur graduell von dem Schutz weniger sensibler Daten. Das Verbotsprinzip gilt für Gerätekennzeichen in gleicher Weise wie für Informationen über sexuelle Vorlieben.
   Privacy by Design: Art. 23 Abs. 1 DS-GVO soll „Privacy by Design“ zum Standard erheben. Die Norm geht jedoch nicht über einen Programmsatz hinaus, da die „Einhaltung dieser Verordnung“ als Ziel der Ausgestaltung von Datenverarbeitungsverfahren bezeichnet wird. Dies bleibtnoch  deutlich hinter § 3 a BDSG zurück, der die Datenvermeidung und Datensparsamkeit sowie als Verfahrensziele festlegt. Anders als in § 3 a BDSG werden in Art. 23 Abs. 1 DS-GVO keine Maßstäbe für die Verfahrensgestaltung gesetzt. Hier macht sich – unter anderem – bemerkbar, dass der Mangel eines konkreten Schutzgutes (siehe  Nr. 1) zwangsläufig verhindert, konkrete Kriterien zur Beurteilung von Risiken und zur Erforderlichkeit von konkreten Maßnahmen abzuleiten. Eine Maßgabe, das eigentliche Schutzgut „Privatsphäre“ zu wahren bzw. zu schonen, fehlt.
   Behördliche Risikoprüfung ohne Maßstäbe: In Art. 33 DS-GVO wird dem Datenverarbeiter bei besonders „riskanten“ Verfahren eine Datenschutz-Folgeabwägung vorgeschrieben. Auch hier fehlt es an Maßstäben für die Verfahrensgestaltung. Besonders problematisch wird dies dadurch, dass Art. 34 DS-GVO die Nutzung von „riskanten“ Verfahren unter den Vorbehalt einer Genehmigung durch die Datenschutzbehörde stellt. Die Datenschutzbehörde wird hierdurch in eine Situation versetzt, in der sie „Risiken“ ohne ersichtlichen Maßstab prüft. Wenn es keine Regelung für die materiellen Voraussetzungen gibt, die die Behörde zu einer Genehmigung verpflichtet, wird den Behörden die selbstständige Setzung von Maßstäben überlassen. Dies ist rechtsstaatlich höchst bedenklich.
6. Einwilligung: Das Verbotsprinzip soll bestehen bleiben (siehe Nr. 4). Es bleibt auch dabei, dass die Einwilligung als ein zentrales Instrument gesehen wird für den Dispens von dem Verarbeitungsverbot (Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DS-GVO). Zugleich begegnet man jedoch autonomen Entscheidungen der Betroffenen mit großem Misstrauen: Art. 7 Abs. 4 DS-GVO soll die Einwilligung als Rechtsgrundlage für eine Datenverarbeitung entwerten, wenn „ein erhebliches Ungleichgewicht“ zwischen Datenverarbeiter und Betroffenem besteht. Das Ziel einer Steigerung der Autonomie des Einzelnen wird so eher geschwächt.
7. Transparenz (Standards): Es wäre wünschenswert und würde die Transparenz im Netz fördern, wenn Standards für die Unterrichtung des Betroffenen über die Art, den Umfang und die Zwecke der Datenverarbeitung gesetzt würden. Art. 14 DS-GVO bringt leider kein Mehr an Transparenz, die Informationspflichten der Art. 10, 11 DSRL werden weitgehend unverändert übernommen und lediglich um umfangreiche Belehrungen über Verfahrensrechte und Rechtsbehelfe ergänzt. Art. 14 DS-GVO würde gegenüber dem geltenden deutschen Recht zudem eine Verschlechterung bedeuten, da nicht einmal (allgemein) – wie in § 13 Abs. 1 TMG – eine Belehrung über „Art und Umfang“ der Datenverarbeitung vorgeschrieben wird.
8. Vollzug: Die DS-GVO würde zu einer deutlich verstärkten Durchsetzung des Datenschutzrechts führen. Allein die drakonischen Bußgelder, die durch Art. 79 DS-GVO eingeführt werden sollen, lassen dies erwarten. Beim Vollzug setzt die DS-GVO indes ausschließlich auf den Vollzug durch starke Behörden. Dem einzelnen Betroffenen werden keine neuen Instrumente zur Durchsetzung seiner Persönlichkeitsrechte gegeben. Die privatrechtliche Haftung für Datenschutzverstöße bleibt unverändert schwach. Art. 77 und 78 DS-GVO übernehmen unverändert Art. 23 und 24 DSRL.
9. Stringenz und Rechtssicherheit: Die Vereinheitlichung des europäischen Datenschutzrechts durch eine Verordnung ist zu begrüßen. Ohne mutige Reformen des materiellen Rechts fehlt es indes auch an Verbesserungen der Stringenz und Logik des Rechts. Zur Rechtssicherheit bei der Datenverarbeitung und der individuellen Durchsetzung des Datenschutzes würde die DS-GVO wenig beitragen.

Fassung November 2011

§ 1 Zweck und Anwendungsbereich des Gesetzes

(1) Dieses Gesetz schützt den Einzelnen davor, durch den Umgang mit personenbezogenen Informationen in seinem Persönlichkeitsrecht beeinträchtigt zu werden.

(2) Dieses Gesetz gilt für die geschäftsmäßige Erhebung, Verarbeitung, Übermittlung und Nutzung personenbezogener Informationen.

(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Informationen einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(4) Dieses Gesetz findet keine Anwendung, sofern ein Datenverarbeiter mit Sitz in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Inland erhebt, verarbeitet, übermittelt oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern ein Datenverarbeiter, der seinen Sitz nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, personenbezogene Informationen im Inland erhebt, verarbeitet, übermittelt oder nutzt. Soweit der Datenverarbeiter nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Informationen nur zum Zweck des Transits im Inland verarbeitet werden. Die gesetzlichen Auskunftspflichten gegenüber der Aufsichtsbehörde (§ 38 Absatz 1 Satz 1 BDSG) bleiben unberührt.

§ 2 Begriffsbestimmungen

(1) Personenbezogene Informationen sind alle Angaben, die sich einer natürlichen Person zuordnen lassen und die – allein oder in Verbindung mit anderen Angaben – Aussagen überdie Person enthalten.

(2) Sensible Informationen sind Angaben, die – allein oder in Verbindung mit anderen Angaben– Aussagen über die Intimsphäre der Person enthalten.

(3) Erheben ist das Herstellenoder Beschaffen von Informationen über den Betroffenen.

(4) Verarbeiten ist das Speichern, Verändern Sperren und Löschen personenbezogener Informationen. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren, Medien und Repräsentationsformen:

a.  Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Informationen zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,

b.  Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Informationen,

c.  Sperren das Kennzeichnen gespeicherter personenbezogener Informationen, um ihre weitere Verarbeitung oder Nutzung einzuschränken,

d.  Löschen das Unkenntlichmachen gespeicherter personenbezogener Informationen.

(5) Übermitteln ist das Bekanntgeben personenbezogener Informationen an einen Dritten in der Weise, dass

a.  die Informationen an den Dritten weitergegeben werden oder

b.  der Dritte zur Einsicht oder zum Abruf bereitgehaltene Informationen einsieht oder abruft,

(6) Nutzen ist jede Verwendung personenbezogener Informationen, soweit es sich nicht um eine Erhebung Verarbeitung oder Übermittlung handelt.

(7) Empfänger ist jede Person oder Stelle, die personenbezogene Informationen erhält.

(8) Datenverarbeiter ist jede natürliche oder juristische Person, die geschäftsmäßig Informationen erhebt, verarbeitet, übermittelt oder nutzt.

(9)  Dritte sind nicht der Datenverarbeiter, verbundene Unternehmen (§ 15 AktG) und der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Auftrag erheben, verarbeiten, übermitteln oder nutzen.

(10)    Geodaten sind alle Daten mit direktem oder indirektem Bezug zu einem bestimmten Standort oder geografischen Gebiet.

§ 3 Datenschutzbestimmungen

(1) Wenn ein Datenverarbeiter personenbezogene Informationen erhebt, verarbeitet oder nutzt zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses oder beim Betrieb eines Telemediums gemäß § 1 Absatz 1 Telemediengesetz (TMG), ist der Datenverarbeiter zur Erstellung und Bereithaltung von transparenten Datenschutzbestimmungen verpflichtet.

(2) Die Datenschutzbestimmungen müssen den Betroffenen in klarer und allgemein verständlicher Weise (transparent) unterrichten über

a.  die Art und den Umfang der erhobenen, verarbeiteten, übermittelten und genutzten personenbezogenen Informationen,

b.  die Zwecke der Erhebung, Verarbeitung und Nutzung von personenbezogenen Informationen sowie Angaben dazu, weshalb die Informationen für diese Zwecke erforderlich sind,

c.  die Übermittlung von personenbezogenen Informationen an Dritte,

d.  die Befugnisse, die sich der Datenverarbeiter vorbehält, personenbezogene Informationen des Betroffenen auch über die Laufzeit des Vertragsverhältnisses oder die Dauer der Nutzung des Telemediums zu verarbeiten und nutzen,

e.  die Erstellung, Verarbeitung, Übermittlung und Nutzung von Bewegungsprofilen unter Einsatz von Geodaten,

f.  die Erhebung, Verarbeitung, Übermittlung und Nutzung von personenbezogenen Informationen zur Auswertung des Verhaltens des Betroffenen (Nutzerprofile) mit dem Ziel, dem Nutzer gezielt Informationen zu Werbezwecken zur Kenntnis zu bringen,

g.  die technischen und organisatorischen Maßnahmen, die der Datenverarbeiter ergreift zur Sicherung personenbezogener Informationen gegen den unbefugten Zugriff Dritter einschließlich der Verfahren der Verschlüsselung und Anonymisierung von Informationen (Datensicherheit),

h.  die Möglichkeiten des Betroffenen, Auskunft über erhobene, verarbeitete, übermittelte und genutzte personenbezogene Informationen zu erhalten und Korrekturen von Unrichtigkeiten zu verlangen einschließlich der Möglichkeiten des Betroffenen, unmittelbar Einblick in die Informationen zu nehmen und Korrekturen selbst vorzunehmen,

i.  die Verarbeitung personenbezogener Informationen in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31),

j.  die Rechte des Betroffenen, der Erhebung, Verarbeitung, Übermittlung und Nutzung von Informationen teilweise oder vollständig zu widersprechen,

k.  den Verantwortlichen für den Datenschutz gemäß § 8 oder eine andere Person, die der Datenverarbeiter mit der Entgegennahme, Bearbeitung und Beantwortung von Beschwerden von Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen beauftragt hat, unter Angabe von Kontaktdaten zur unmittelbaren Kommunikation,

l.  die Verhaltenskodices (§ 2 Abs. 1 UWG) und sonstigen Verhaltensregeln, zu deren Einhaltung sich der Datenverarbeiter verpflichtet,

m.  die Befugnisse, die sich der Datenverarbeiter vorbehält, die Umstände der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Buchstabe a bis l zu ändern.

(3) Wenn der Datenverarbeiter damit rechnen muss, dass Minderjährige nicht nur gelegentlich seine Vertragspartner sind oder sein Telemedium nutzen, ist er verpflichtet, die Datenschutzbestimmungen so abzufassen, dass sie auch für Minderjährige verständlich sind. Die Bestimmungen zum Jugendschutz bleiben unberührt.

(4) Der Datenverarbeiter ist verpflichtet, dem Vertragspartner auf Anforderung die aktuellen Datenschutzbestimmungen in Textform (§ 126 b BGB) zukommen zu lassen. Bei einem Telemedium müssen die Datenschutzbestimmungen für den Nutzer jederzeit abrufbar sein.

(5) Wenn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen eines Vertragsverhältnisses erfolgt, ist der Datenverarbeiter verpflichtet, den Betroffenen von allen wesentlichen Änderungen der Datenschutzbestimmungen zu unterrichten (Änderungsrecht). Der Betroffene ist berechtigt, Änderungen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Satz 1 zu widersprechen, wenn die schutzwürdigen Interessen des Betroffenen die Interessen des Datenverarbeiters an der Änderung überwiegen. Bei der Unterrichtung des Betroffenen über Änderungen der Datenschutzbestimmungen gemäß Satz 1 ist der Datenverarbeiter verpflichtet, auf das Widerspruchsrecht gemäß Satz 2 hinzuweisen.

(6) Ein Datenverarbeiter ist zur Übermittlung von personenbezogenen Informationen an Dritte nur berechtigt, wenn die Datenschutzbestimmungen eine solche Übermittlung vorsehen oder wenn der Betroffene in die Übermittlung eingewilligt hat. Ein Änderungsrecht besteht nicht.

§ 4 Einwilligung

(1) Der Datenverarbeiter darf sensible Information nur mit vorheriger Zustimmung (Einwilligung) des Betroffenen oder auf Basis einer gesetzlichen Grundlage erheben, verarbeiten, übermitteln und nutzen.

(2) Die Einwilligung bedarf einer gesonderten Erklärung  des Nutzers. Sie ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung, Übermittlung oder Nutzung hinzuweisen.

(3) Die Einwilligung kann elektronisch erklärt werden, wenn der Datenverarbeiter sicherstellt, dass

a.  der Nutzer seine Einwilligung ausdrücklich und bewusst erteilt hat,

b.  die Einwilligung protokolliert wird,

c.  der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

d.  der Nutzer die Einwilligung jederzeit aus wichtigem Grund mit Wirkung für die Zukunft widerrufen kann.

(4) Der Datenverarbeiter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 3 Buchstabe d hinzuweisen. § 3 Absatz 4 Satz 2 gilt entsprechend.

(5) Die Auswertung des Nutzerverhaltens, insbesondere durch die Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 3 Abs. 2 Buchstabe e und f), bedarf der Einwilligung des Betroffenen, sofern die Auswertung Aussagen über der Intimsphäre enthalten kann. Die Absätze 2 bis 4 gelten entsprechend.

§ 5 Verbote

(1) Wenn ein Datenverarbeiter personenbezogene Informationen zu den Zwecken gemäß § 3 Absatz 2 erhebt, verarbeitet oder nutzt, ist ihm die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen erlaubt, soweit die Datenschutzbestimmungen den Betroffenen über die Erhebung, Verarbeitung oder Nutzung informieren. Jede Erhebung, Verarbeitung oder Nutzung, die über die Datenschutzbestimmungen hinausgeht, ist dem Datenverarbeiter untersagt.

(2) Die Übermittlung personenbezogener Informationen ist untersagt, wenn die Voraussetzungen des § 3 Abs. 6 nicht erfüllt sind.

(3) Die Erhebung, Verarbeitung, Übermittlung oder Nutzung sensibler Informationen ist untersagt, wenn der Betroffene nicht wirksam eingewilligt hat (§ 4 Absatz 2 bis 4). Entsprechendes gilt für die Bildung von Bewegungsprofilen oder Nutzerprofilen, sofern die Auswertung Aussagen über die Intimsphäre des Betroffenen enthalten kann (§ 4 Absatz 5).

(4) Dritte dürfen personenbezogene Informationen erheben. Handelt es sich allerdings um Angaben, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben –  ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, wenn schutzwürdigen Interessen des Betroffenen der Verarbeitung, Übermittlung und Nutzung entgegenstehen. Wenn der Betroffene von seinem Widerspruchsrecht Gebrauch gemacht hat, ist dem Dritten die Verarbeitung, Übermittlung und Nutzung untersagt.

(5) Dritten ist die Verarbeitung, Übermittlung und Nutzung von personenbezogenen Informationen, die sie nicht selbst erhoben haben, untersagt, wenn sie die Informationen unrechtmäßig – insbesondere unter Verstoß gegen § 3 Abs. 6 – erlangt haben.

(6) Art. 5 GG bleibt unberührt.

§ 6 Schadensersatz

(1) Fügt ein Datenverarbeiter dem Betroffenen durch eine nach diesem Gesetz unzulässige oder unrichtige Erhebung, Verarbeitung, Übermittlung oder Nutzung von personenbezogenen Informationen einen Schaden zu, ist er dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, wenn der Datenverarbeiter nachweist, dass er seine Verpflichtung zu datenschutzkonformen Verfahren eingehalten hat (§ 7 Abs. 1 Satz 2).

(2) Verstößt ein Datenverarbeiter gegen das Verbot gemäß § 5 Absatz 2 findet § 97 Absatz 2 Satz 2 und 3 UrhG auf die Bemessung des Schadensersatzes entsprechende Anwendung.

(3) Der Betroffenen kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine Entschädigung in Geld verlangen, wenn und soweit dies der Billigkeit entspricht.

§ 7 Ausgestaltung von Verfahren

(1) Bei der Entwicklung, Gestaltung, Änderung und Erweiterung von Verfahren, die ein Datenverarbeiter nutzt oder nutzen möchte, hat der Datenverarbeiter in jedem Stadium zu beachten, dass Persönlichkeitsrechte des Einzelnen gefährdet werden können, wenn personenbezogene Informationen erhoben, verarbeitet, übermittelt und genutzt werden. Der Datenverarbeiter ist daher zur Einhaltung der nachfolgenden Richtlinien verpflichtet, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

(2) Die Verfahren sind an dem Ziel auszurichten, so wenig personenbezogene Informationen wie möglich zu erheben, zu verarbeiten oder zu nutzen.

(3) Die Verfahren sind so auszugestalten, dass personenbezogene Informationen automatisch gelöscht werden, wenn sie für den Verwendungszweck nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Archivierung und Nutzung ausschließlich zu Beweiszwecken ist zulässig.

(4) Die Sicherheit der Verfahren ist am Stand der Technik auszurichten. Insbesondere sind personenbezogene Informationen gegen den unbefugten Zugriff Dritter nach dem Stand der Technik zu schützen.

(5) Angaben, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben –  ein aussagekräftiges Bild der Persönlichkeit ermöglichen, bedürfen eines erhöhten Schutzes.. Dies ist insbesondere bei der Gestaltung von Administratoren- und anderen Zugriffsrechten  zu berücksichtigen.

(6) Bei der Gestaltung von Datenschutzbestimmungen (§ 3) oder vorformulierten Einwilligungen (§ 4) sowie von sonstigen Informationen von Betroffenen über die Erhebung, Verarbeitung und Nutzung mit personenbezogener Informationen sind Standards zu berücksichtigen, die sich in der Praxis entwickelt haben und die Gewohnheiten der Betroffenen prägen.

(7) Die Erhebung und die Übermittlung von personenbezogenen Informationen sind rückverfolgbar zu gestalten. Dies gilt auch für sämtliche Versionsstände der Datenschutzbestimmungen (§ 3).

(8) Bei der Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 3 Abs. 2 Buchstabe e und f) sind die Verfahren so zu gestalten, dass dem Betroffenen technische Mittel zur Verfügung stehen, mit deren Hilfe er die Bildung von Profilen dauerhaft oder vorübergehend verhindern kann.

(9) Dem Betroffenen sind angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe er fehlerhafte personenbezogene Informationen erkennen und berichtigen kann.

§ 8 Verantwortlicher für den Persönlichkeitsschutz

Unternehmen, die personenbezogene Informationen verarbeiten und damit in der Regel mindestens 20 Personen beschäftigen, haben einen Verantwortlichen für den Persönlichkeitsschutz zu bestellen. Der Verantwortliche für den Persönlichkeitsschutz ist für die Entgegennahme und Beantwortung von Beschwerden der Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung personenbezogener Informationen zuständig. Er kann zugleich Beauftragter für den Datenschutz (§ 4 f BDSG) sein.

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit personenbezogenen Informationen in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die geschäftsmäßige Erhebung, Verarbeitung und Nutzung personenbezogener Informationen.

(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Informationen einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(4) Dieses Gesetz findet keine Anwendung, sofern ein Datenverarbeiter mit Sitz in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern ein Datenverarbeiter, der seinen Sitz nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, personenbezogene Informationen im Inland erhebt, verarbeitet oder nutzt. Soweit der Datenverarbeiter nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Informationen nur zum Zweck des Transits im Inland verarbeitet werden. Die gesetzlichen Auskunftspflichten gegenüber der Aufsichtsbehörde (§ 38 Absatz 1 Satz 1 BDSG) bleiben unberührt.

§ 2 Begriffsbestimmungen

(1) Personenbezogene Informationen sind alle Angaben, die sich einer natürlichen Person zuordnen lassen und die – allein oder in Verbindung mit anderen Angaben – Aussagen über die Person enthalten.

(2) Sensible Informationen sind Angaben, die – allein oder in Verbindung mit anderen Angaben – Aussagen über den Intimbereich der Person enthalten, sowie Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit und Gesundheit.

(3) Erheben ist das Herstellen oder Beschaffen von Informationen über den Betroffenen.

(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Informationen. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren, Medien und Repräsentationsformen:

a. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Informationen zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,

b. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Informationen,

c. Übermitteln das Bekanntgeben personenbezogener Informationen an einen Dritten in der Weise, dass

aa. die Informationen an den Dritten weitergegeben werden oder

bb. der Dritte zur Einsicht oder zum Abruf bereitgehaltene Informationen einsieht oder abruft,

d. Sperren das Kennzeichnen gespeicherter personenbezogener Informationen, um ihre weitere Verarbeitung oder Nutzung einzuschränken,

e. Löschen das Unkenntlichmachen gespeicherter personenbezogener Informationen.

(5) Nutzen ist jede Verwendung personenbezogener Informationen, soweit es sich nicht um Verarbeitung handelt.

(6) Empfänger ist jede Person oder Stelle, die personenbezogene Informationen erhält.

(7) Datenverarbeiter ist jede natürliche oder juristische Person, die geschäftsmäßig Informationen erhebt, verarbeitet oder nutzt.

(8) Dritte sind nicht der Datenverarbeiter, verbundene Unternehmen (§ 15 AktG) und der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Auftrag erheben, verarbeiten oder nutzen.

(9) Geodaten sind alle personenbezogenen Informationen mit direktem oder indirektem Bezug zu einem bestimmten Standort oder geografischen Gebiet.

§ 3 Datenschutzbestimmungen

(1) Wenn ein Datenverarbeiter personenbezogene Informationen erhebt, verarbeitet oder nutzt zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses oder beim Betrieb eines Telemediums gemäß § 1 Absatz 1 Telemediengesetz (TMG), ist der Datenverarbeiter zur Erstellung und Bereithaltung von transparenten Datenschutzbestimmungen verpflichtet.

(2) Die Datenschutzbestimmungen müssen den Betroffenen in klarer und allgemein verständlicher Weise (transparent) unterrichten über

1. die Art und den Umfang der erhobenen, verarbeiteten und genutzten personenbezogenen Informationen,

2. die Zwecke der Erhebung, Verarbeitung und Nutzung von Informationen sowie Angaben dazu, weshalb die Informationen für diese Zwecke erforderlich sind,,

3. die Weitergabe von Informationen an Dritte,

4. die Befugnisse, die sich der Datenverarbeiter vorbehält, personenbezogene Informationen des Betroffenen auch über die Laufzeit des Vertragsverhältnisses oder die Dauer der Nutzung des Telemediums zu verarbeiten und nutzen,

5. die Erstellung, Verarbeitung und Nutzung von Bewegungsprofilen unter Einsatz von Geodaten,

6. die Erhebung, Verarbeitung und Nutzung von Informationen zur Auswertung des Verhaltens des Betroffenen (Nutzerprofile) mit dem Ziel, dem Nutzer gezielt Informationen zu Werbezwecken zur Kenntnis zu bringen,

7. die technischen und organisatorischen Maßnahmen, die der Datenverarbeiter ergreift zur Sicherung der Informationen gegen den unbefugten oder missbräuchlichen Zugriff Dritter einschließlich der Verfahren der Verschlüsselung und Anonymisierung von Informationen (Datensicherheit),

8. die Möglichkeiten des Betroffenen, Auskunft über erhobene, verarbeitete und genutzte Informationen zu erhalten und Korrekturen von Unrichtigkeiten zu verlangen einschließlich der Möglichkeiten des Betroffenen, selbst unmittelbar Einblick in die Informationen zu nehmen und Korrekturen selbst vorzunehmen,

9. die Verarbeitung personenbezogener Informationen in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31);

10. die Rechte des Betroffenen, der Erhebung, Verarbeitung und Nutzung von Informationen teilweise oder vollständig zu widersprechen,

11. den Verantwortlichen für den Datenschutz gemäß § 9 oder eine andere Person, die der Datenverarbeiter mit der Entgegennahme, Bearbeitung und Beantwortung von Beschwerden von Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen beauftragt hat, unter Angabe von Kontaktdaten zur unmittelbaren Kommunikation,

12. die Befugnisse, die sich der Datenverarbeiter vorbehält, die Umstände der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Buchstabe a bis k zu ändern.

(3) Wenn der Datenverarbeiter damit rechnen muss, dass Minderjährige nicht nur gelegentlich seine Vertragspartner sind oder sein Telemedium nutzen, ist er verpflichtet, die Datenschutzbestimmungen so abzufassen, dass sie auch für Minderjährige verständlich sind.

(4) Der Datenverarbeiter ist verpflichtet, dem Vertragspartner auf Anforderung jederzeit die aktuellen Datenschutzbestimmungen in Textform (§ 126 b BGB) zukommen zu lassen. Bei einem Telemedium müssen die Datenschutzbestimmungen für den Nutzer jederzeit abrufbar sein.

(5) Der Datenverarbeiter ist verpflichtet, die Datenschutzbestimmungen stets auf dem aktuellen Stand zu halten. Wenn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen eines Vertragsverhältnisses erfolgt, ist der Datenverarbeiter verpflichtet, den Betroffenen von allen wesentlichen Änderungen der Datenschutzbestimmungen zu unterrichten. Der Betroffene ist berechtigt, Änderungen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Absatz 1 zu widersprechen, wenn die Interessen des Betroffenen die Interessen des Datenverarbeiters an der Änderung überwiegen. Bei der Unterrichtung des Betroffenen über Änderungen der Datenschutzbestimmungen gemäß Satz 1 ist der Datenverarbeiter verpflichtet, auf das Widerspruchsrecht gemäß Satz 2 hinzuweisen.

§ 4 Einwilligung

(1) Der Datenverarbeiter darf sensible Information nur mit vorheriger Zustimmung (Einwilligung) des Betroffenen oder auf Basis einer gesetzlichen Grundlage erheben, verarbeiten und nutzen.

(2) Die Einwilligung bedarf einer gesonderten Erklärung des Nutzers. Sie ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen.

(3) Die Einwilligung kann elektronisch erklärt werden, wenn der Datenverarbeiter sicherstellt, dass

a. der Nutzer seine Einwilligung ausdrücklich und bewusst erteilt hat,

b. die Einwilligung protokolliert wird,

c. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

d. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(4) Der Datenverarbeiter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 3 Buchstabe d hinzuweisen. § 3 Absatz 4 Satz 2 gilt entsprechend.

(5) Die Auswertung des Nutzerverhaltens, insbesondere durch die Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 3 Abs. 2 Buchstabe e und f), bedarf der Einwilligung des Betroffenen, sofern die Auswertung Aussagen über den Intimbereich enthalten kann. Die Absätze 2 bis 4 gelten entsprechend.

§ 5 Übermitteln von Informationen

Wenn ein Datenverarbeiter personenbezogene Informationen erhebt, verarbeitet
oder nutzt zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses oder beim Betrieb eines Telemediums gemäß § 1 Absatz 1 Telemediengesetz (TMG), ist der Datenverarbeiter zur Übermittlung von Informationen an Dritte nur berechtigt, wenn die Datenschutzbestimmungen eine solche Übermittlung vorsehen oder wenn der Betroffene in die Übermittlung eingewilligt hat. § 4 bleibt unberührt.

§ 6 Verbote

(1) Wenn ein Datenverarbeiter personenbezogene Informationen zu den Zwecken gemäß § 3 Absatz 2 erhebt, verarbeitet oder nutzt, ist ihm die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen erlaubt, soweit die Datenschutzbestimmungen den Betroffenen über die Erhebung, Verarbeitung oder Nutzung informieren. Jede Erhebung, Verarbeitung oder Nutzung, die über die Datenschutzbestimmungen hinausgeht, ist dem Datenverarbeiter untersagt.

(2) Die Erhebung, Nutzung oder Verarbeitung sensibler Informationen ist untersagt, wenn der Betroffene nicht wirksam eingewilligt hat (§ 4 Absatz 2 bis 4). Entsprechendes gilt für die Bildung von Bewegungsprofilen oder Nutzerprofilen, sofern die Auswertung Aussagen über den Intimbereich des Betroffenen enthalten kann (§ 4 Absatz 5).

(3) Dritte dürfen personenbezogene Informationen erheben. Handelt es sich allerdings um Angaben, die Aussagen über den Privat- oder Intimbereich des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Benachrichtigung entgegenstehen. Der Betroffene ist berechtigt, der Verarbeitung und Nutzung der Informationen zu widersprechen. Wenn der Betroffene von seinem Widerspruchsrecht Gebrauch gemacht hat, ist dem Dritten die Verarbeitung und Nutzung untersagt.

(4) Dritten ist die Verarbeitung und Nutzung von personenbezogenen Informationen, die sie nicht selbst erhoben haben, untersagt, wenn sie die Informationen unrechtmäßig – insbesondere unter Verstoß gegen § 5 – erlangt haben.

(5) Die Übermittlung personenbezogener Informationen ist untersagt, wenn die Voraussetzungen des § 5 nicht erfüllt sind.

(6) Art. 5 GG bleibt unberührt.

§ 7 Schadensersatz

(1) Fügt ein Datenverarbeiter dem Betroffenen durch eine nach diesem Gesetz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen einen Schaden zu, ist er dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, wenn der Datenverarbeiter nachweist, dass er seine Verpflichtung zu datenschutzkonformen Verfahren eingehalten hat (§ 8 Abs. 1 Satz 2).

(2) Verstößt ein Datenverarbeiter gegen das Verbot gemäß § 6 Absatz 2 findet § 97 Absatz 2 Satz 2 und 3 UrhG auf die Bemessung des Schadensersatzes entsprechende Anwendung.

(3) Der Betroffenen kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine Entschädigung in Geld verlangen, wenn und soweit dies der Billigkeit entspricht.

§ 8 Ausgestaltung von Verfahren

(1) Bei der Entwicklung, Gestaltung, Änderung und Erweiterung von Verfahren, die ein Datenverarbeiter nutzt oder nutzen möchte, hat der Datenverarbeiter in jedem Stadium zu beachten, dass Persönlichkeitsrechte des Einzelnen gefährdet werden können, wenn personenbezogene Informationen erhoben, verarbeitet und genutzt werden. Der Datenverarbeiter ist daher zur Einhaltung der nachfolgenden Richtlinien verpflichtet, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

(2) Die Verfahren sind an dem Ziel auszurichten, so wenig personenbezogene Informationen wie möglich zu erheben, zu verarbeiten oder zu nutzen. Personenbezogene Informationen sind zu anonymisieren oder zu verschlüsseln

(3) Die Verfahren sind so auszugestalten, dass personenbezogene Informationen automatisch gelöscht werden, wenn sie für den Verwendungszweck nicht mehr benötigt werden.

(4) Personenbezogene Informationen sind gegen den unbefugten oder missbräuchlichen Zugriff Dritter nach dem Stand der Technik zu schützen.

(5) Angaben, die Aussagen über den Privat- oder Intimbereich des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, bedürfen eines erhöhten Schutzes. Sensible Informationen erfordern das höchste Schutzniveau. Dies ist insbesondere bei der Gestaltung von Administratoren- und anderen Einblicksrechten zu berücksichtigen.

(6) Bei der Gestaltung von Datenschutzbestimmungen (§ 3) oder vorformulierten Einwilligungen (§ 4) sowie von sonstigen Informationen von Betroffenen über die Erhebung, Verarbeitung und Nutzung mit personenbezogener Informationen sind Standards zu berücksichtigen, die sich in der Praxis entwickelt haben und die Gewohnheiten der Betroffenen prägen.

(7) Die Übermittlung und Verwendung von personenbezogenen Informationen ist rückverfolgbar zu gestalten.

(8) Bei der Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 3 Abs. 2 Buchstabe e und f) sind die Verfahren so zu gestalten, dass dem Betroffenen technische Mittel zur Verfügung stehen, mit deren Hilfe er die Bildung von Profilen dauerhaft oder vorübergehend verhindern kann.

(9) Dem Betroffenen sind angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe er fehlerhafte personenbezogene Informationen erkennen und berichtigen kann.

§ 9 Beschwerdebeauftragter

Unternehmen, die personenbezogene Informationen verarbeiten und damit in der Regel mindestens 20 Personen beschäftigen, haben einen Beschwerdebeauftragten zu bestellen. Der Beschwerdebeauftragte ist für die Entgegennahme und Beantwortung von Beschwerden der Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung personenbezogener Informationen zuständig. Er kann zugleich Beauftragter für den Datenschutz (§ 4 f BDSG) sein.

(1) The purpose of this Act is to protect individuals against infringements of their right to privacy as a result of the handling of their personal information.

(2) This Act applies to the collection, processing and use of personal data for commercial purposes.

(3) In so far as other legal provisions of the Federation are applicable to personal data, including their publication, such provisions shall take precedence over the provisions of this Act. This shall not affect the duty to observe the legal obligation of maintaining secrecy, or professional or special official confidentiality not based on legal provisions.

(4) This Act shall not apply to data processors based in another EU member state or in a signatory state to the EEA Treaty and collecting, processing and using data in Germany unless these activities are carried out by a branch of the company that is based in Germany. This Act shall apply to data processors not based in an EU member state or in a signatory state to the EEA Treaty who collect process and use data in Germany.  Where, within the scope of this Act, the data processor must be named, information regarding his representatives in Germany must also be disclosed. The 2nd and 3^rd sentences above shall not apply to data processed in Germany solely for transit purposes. This shall not affect the disclosure requirements of the supervisory authority (see § 38 para. 1.1 of the Federal Data Protection Act).

§ 2 Definitions

(1) Personal data means any information concerning the personal circumstances of an identified individual or used alone or in conjunction with other information can cause the individual to be identified.

(2) Sensitive data means any information, alone or in conjunction with other information, regarding the sex-life, racial and ethnic background, political opinions, religious or philosophical beliefs, trade-union membership and health of the data subject.

(3) Collection means the preparation or acquisition of data on the data subject.

(4) Processing means the storage, modification, communication, blocking and erasure of personal data. In particular cases, irrespective of the procedures, media or forms of representation used:

a. storage means the entry, recording or preservation of personal data on a storage medium so that they can be processed or used again,

b. modification means the alteration of the substance of stored personal data,

c. communication means the disclosure to a third party of personal data stored or obtained by means of data processing either

aa. through transmission of the data to the third party by the controller of the data file or

bb. through the recipient inspecting or retrieving data held ready by the controller of the data file for inspection or retrieval,

d. blocking means labelling stored personal data so as to restrict their further processing or use,

e. erasure means the deletion of stored personal data.

(5) Use means any utilisation of personal data other than processing.

(6) Recipient means persons or bodies who obtain personal data.

(7) Controller of the data file means any person or body storing personal data on his or its own behalf or commissioning others to store them.

(8) Third party means any person or body other than the controller of the data file or an affiliated body (see § 15 AktG / German Stock Companies Act) or the data subject or any persons or bodies collecting, processing or using personal data to order in Germany, an EU member state or in a signatory state to the EEA Treaty.

(9) Geodata means all personal information directly or indirectly related to a particular place or geographical area.

§ 3 Data Protection Provisions

(1) Data processors who collect, process or use personal information for the purposes of creating, developing or amending a contractual relationship or through the operation of a telecommunications as set out under the provisions of § 1 para. 1 of the German Telemedia Act, are required to draw up and adhere to transparent data protection provisions.

(2)The data protection provisions must inform the data subjects in a generally understandable (transparent) manner about:

1. the means and scope of personal information that will be collected, processed and used,

2. the purpose of the collection, processing and use of the information as well as an explanation of why this information is required in this regard,

3. the communication of this information to third parties,

4. the right of the data processor to process and use the personal information provided by the data subject above and beyond the term of the contract or the period of use of the telecommunications medium,

5. the setting-up, processing and use of movement profiles based on geodata,

6. the collection, processing and use of information in order to assess the behaviour of the data subject (user profiles) with the intention of tailoring advertising to the interests of the user,

7. the technical and organisational measures taken by the data processor in order to protect the data against unauthorised access or damage by third parties including the process used to encrypt and anonymise the data (data security),

8. the means by which data subjects can obtain information regarding the data that has been collected, processed and used in order to ensure that errors are corrected, including the means by which data subjects can obtain access to the information and correct it themselves,

9. the processing of personal information in states outside the area of application of Guideline 95/46/EG of the European Parliament and of the Council of 24 October 1995 protecting individuals with regard to the processing of personal data and on the free movement of such data (OJl. EU No. L 281 S. 31);

10. the rights of the data subject to object to the collection, processing and use of information in part or in whole,

11. the data protection officer as set out in section 9, or other person appointed by the data processor to receive, process and respond to complaints from data subjects regarding the collection, processing and use of personal data, giving direct contact details,

12. the rights reserved by the data processor to change the circumstances of the collection, processing and use of personal data as defined under letters a to k above.

(3) Where the data processor expects that his clients or users will often be minors, he is required to word the data protection provisions such that they can be easily understood by minors.

(4) The data processor is required to provide a written version of the data protection provisions to his clients at all times, as set out under § 126 b of the German Civil Code (BGB). In the case of telemedia, users must be able to download the data protection provisions at all times.

(5) The data processor is required to update the data protection regulations on a regular basis. Where the collection, processing and use of personal data is carried out within the scope of a contractual relationship, the data processor is required to inform the client of all major changes to the data protection provisions. The data subject is entitled to reject changes in the collection, processing and use of personal data as set out under section 1 insofar as the interests of the data subject regarding the changes outweigh those of the data processor. The data processor is required to inform the data subject of his right of recourse as set out in the 2nd sentence above with regard to any changes to the data protection provisions as in the 1^st sentence above.

§ 4 Consent

(1) The data processor is only permitted to collect, process and use sensitive information with the prior agreement (consent) of the data subject or in line with a legal provision.

(2) The consent must be in the form of a separate declaration by the user and is valid only if made voluntarily by the data subject. The data subject must be informed of the purpose of the collection, processing and use of this data.

(3) Consent can be given electronically on condition that the data processor ensures that

a. the user has knowingly and explicitly given his consent,

b. the consent is recorded,

c. the user can download the content of the consent at any time and

d. the user can withdraw his consent at any time with regard to future use.

(4) The data processor informed the user prior to his giving consent of his rights as set out under (3) d. § 3 para. 4 2^nd sentence applies equally.

(5) The evaluation of the user’s behaviour, particularly through the use of movement or user profiles (see § 3 para. 2 e and f), requires the consent of the data subject if the evaluation could contain details of his sex-life. (2) to (4) above also apply accordingly.

§ 5 Transfer of Information

Information collected, processed or used in order to create, develop or amend a contractual relationship or through telecommunication as set out under § 1 para. 1 of the German Telemedia Act (TMG) may only be transferred to third parties if the data processor has included this in the data protection provisions or if the data subject has consented to the transfer. § 4 remains unaffected.

§ 6 Prohibitions

(1) A data processor collecting, processing or using personal data fort he purposes as set out under § 3 para. 2 may collect, process or use this personal data as long as the data protection provisions inform the data subject of this collection, processing or use. All collection, processing or use above and beyond the data protection provisions is forbidden.

(2) The collection, processing or use of sensitive information is forbidden if the data subject has not given his binding consent hereto (see § 4 para. 2 to 4). The same applies to the use of movement or user profiles if the evaluation could contain information regarding the sex-life of the data subject (see § 4 para. 5).

(3) Third parties may collect personal data. Should this information, however, contain references to the private or sex-life of the data subject and – on its own or in conjunction with other information – make it possible to identify the individual concerned, then the data subject must be notified of the collection, as long as this would not adversely affect the overriding interests of the third party. The data subject is entitled to object to the processing and use of the data. If the data subject makes use of his right of to object then the third party is prohibited from processing or using the data.

(4) Third parties are not entitled to process or use personal data that they have not collected themselves if the data was acquired illegally – particularly if in breach of § 5.

(5) Personal data may not be transferred if the conditions under § 5 have not been fulfilled.

(6) Article 5 of the German Constitution (GG) remains unaffected.

§ 7 Compensation

(1) If a data processor harms a data subject through collection, processing or use of his or her personal data which is unlawful or improper under this Act or other data protection provisions, they shall be obligated to compensate the data subject for damage suffered. The obligation to pay compensation shall be waived if the controller exercised due care if the processor can prove that he acted in compliance with the data protection laws (see § 8 para. 1 2^nd sentence).

(2) If a data processor commits a breach of the prohibition as set out under § 6 para. 2 then § 97 para. 2 2nd sentence and 3 of the German Copyright Law shall govern the calculation of the amount of compensation applicable.

(3) The data subject is also entitled to claim monetary compensation for non-monetary damage if and insofar as this is fair.

§ 8 Designing of Procedures

(1) Data processors must ensure, at each stage of the development, design, amendment and expansion procedures used or intended to be used, that the privacy rights of the individual are not at risk when personal data is collected, processed or used. The data processor is therefore obligated to comply with the following guidelines insofar as this is possible with regard to the purpose and the effort required is in reasonable proportion to the desired purpose of protection.

(2) Procedures are to be so designed as to collect, process or use as little personal data as possible. Personal data must be rendered anonymous or encrypted.

(3) Procedures must be designed such that personal data is deleted automatically as soon as they are no longer needed.

(4) Personal data must be protected against unlawful or access or misuse by third parties as far as current technology allows.

(5) Information that contains details of the private or sex-life of the data subject and could – on its own or in conjunction with other information – make it possible to identify the individual concerned must be afforded a higher degree of protection. Sensitive information must be afforded the highest level of protection. This must be a particular consideration in the context of the design of administrator and viewing rights.

(6) The data protection provisions (§ 3) or content forms (§ 4) as well as other notices regarding the collection, processing or use of personal data must be formulated in line with  generally prevailing standards and in a form familiar to users.

(7) Personal data that is transferred and used must be traceable.

(8) Where movement or user profiles are created (see§ 3 para. 2 e and f), the procedures must be designed such that the data subject is provided with the technical means to prevent the creation of such profiles, either permanently or temporarily.

(9) The data subject must be provided with appropriate technical means with which to detect and correct incorrect personal data.

§ 9 Complaints Officer

Companies that process personal data and regularly employ at least 20 people are required to appoint a complaints officer. The complaints officer is responsible for receiving and responding to complaints from data subjects regarding the collection, processing or use of personal data. He or she may, at the same time, be the data protection officer (§ 4 f Federal Data Protection Act).