35Hödl in Knyrim, DatKomm, Art 4 Rz 77 (Stand 01.12.2018, rdb.at).
36Voigt/von dem Bussche, EU-DSGVO 113.
37Voigt/von dem Bussche, EU-DSGVO 114.
38Heberlein in Ehmann/Selmayr, DSGVO2 Art 5 Rz 8.
39Heberlein in Ehmann/Selmayr, DSGVO2 Art 5 Rz 10.
40Roßnagel, ZD 2018, 339 (340).
41Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 17.
42Gegebenenfalls sollten zusätzlich visuelle Elemente verwendet werden (ErwGr 59 DSGVO).
43Roßnagel in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht, Art 5 Rz 60.
44Roßnagel in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht, Art 5 Rz 57.
45Es muss Dritten möglich sein, die Festlegung nachzuvollziehen. Eine geeignete Form der Zweckfestlegung kann zB das Verzeichnis der Verarbeitungstätigkeiten gemäß Art 30 Abs 1 DSGVO sein (Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 32 und 34).
46Artikel-29-Datenschutzgruppe, WP 203, 15.
47Artikel-29-Datenschutzgruppe, WP 203, 16.
48Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 24.
49Roßnagel in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht, Art 5 Rz 119.
50Wolff in Schantz/Wolff, Das neue Datenschutzrecht, Rz 421.
51Wolff in Schantz/Wolff, Das neue Datenschutzrecht, Rz 422.
52Roßnagel in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht, Art 5 Rz 121.
53Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 58.
54Personenbezogene Daten müssen folglich nicht in jedem Fall auf dem neuesten Stand sein, sondern nur, wenn dies der Zweck der Datenverarbeitung erfordert (Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 61).
55Wolff in Schantz/Wolff, Das neue Datenschutzrecht, Rz 442; Hötzendorfer/Tschohl/Kasteliz in Knyrim, DatKomm, Art 5 Rz 46 (Stand 01.12.2018, rdb.at).
56Roßnagel, ZD 2018, 339 (341).
57Hötzendorfer/Tschohl/Kasteliz in Knyrim, DatKomm, Art 5 Rz 51 (Stand 01.10.2018, rdb.at).
58Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 74.
59Hötzendorfer/Tschohl/Kasteliz in Knyrim, DatKomm, Art 5 Rz 54 (Stand 01.10.2018, rdb.at).
60Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 74.
61Roßnagel, ZD 2018, 339 (341).
62Kristoferitsch/Paefgen in Lewisch, Wirtschaftsstrafrecht und Organverantwortlichkeit 2018, 145.
63Illibauer in Knyrim, DatKomm, Art 83 Rz 124 (Stand 01.10.2018, rdb.at).
64Schweiger in Knyrim, DatKomm, Art 82 Rz 1 (Stand 01.12.2018, rdb.at).
65Schweiger in Knyrim, DatKomm, Art 82 Rz 3 (Stand 01.12.2018, rdb.at).
2 Art 82 DSGVO und Haftungsszenarien
Axel Thoß
2 Art 82 DSGVO und Haftungsszenarien
2.1 Augsgangspunkt
Selbst bis über den Atlantik hat es sich herumgesprochen, dass es sich bei der DSGVO um die „world’s toughest privacy rules“[67] handeln dürfte. Dieser Titel wurde jedoch – betrachtet man ihn unter dem Gesichtspunkt der Rechtssicherheit – teuer erkauft:
Einerseits sieht die DSGVO, wie der Blick in Art 83 DSGVO verrät, fast schon absurd hoch anmutende Geldbußen bei Verstößen gegen ausgewählte Bestimmungen der Verordnung vor. Mag man auch über die Sinnhaftigkeit solcher Strafdrohungen (Stichwort Verhältnismäßigkeit) diskutieren, so obliegt deren Einführung selbstredend dem zuständigen Gesetzgeber, zumal es letztlich die zuständigen Aufsichtsbehörden sind, die (wieder: Stichwort Verhältnismäßigkeit) den jeweiligen konkreten Verhaltensverstoß angemessen zu sanktionieren haben. Da vermag bereits aus Präventionsgründen ein potenzielles finanzielles Desaster ein geeignetes Instrumentarium zu sein, zumal, wenn betroffene Unternehmen ihre Organisation danach ausrichten können. Aber genau hier liegt die Crux begraben.
Die DSGVO weist eine Vielzahl strafbegründender, unbestimmter Rechtsbegriffe auf, was sowohl aus Sicht des Legalitäts- als auch Gesetzlichkeitsprinzips zumindest kritisch zu sehen ist. Dem Anspruch des Gesetzgebers, bestimmte Verhaltensweisen zu sanktionieren, ist zugleich die Notwendigkeit immanent, dies auf Basis hinreichend bestimmter Gesetze zu tun („nulla poena sine lege certa“). Dass dieser, ursprünglich im Strafrecht verankerte Rechtsgrundsatz[68] auch im Verwaltungsrecht gilt, ist heute
