| Cover | 1 |
| Titel | 3 |
| Impressum | 4 |
| Vorwort zur zweiten Auflage | 5 |
| Vorwort zur ersten Auflage | 6 |
| Inhaltsverzeichnis | 8 |
| Teil 1: Grundzüge des BDSG | 19 |
| Kapitel 1: Einführung | 19 |
| I. Einleitung | 19 |
| II. Was sollte man zur Entwicklung des BDSG von 1977 – 2014 wissen? | 20 |
| 1. Verkündung 1977 | 21 |
| 2. Volkszählungsurteil von 1983 | 21 |
| 3. Erste Neufassung 1990 | 22 |
| 4. BDSG-Reform von 2001 | 22 |
| 5. BDSG-Novelle von 2009 | 23 |
| 6. Entwurf eines „Gesetzes zur Regelung des Beschäftigtendatenschutzes“ | 23 |
| III. Welche europäischen Entwicklungen haben Auswirkungen auf die Anwendung des BDSG? | 24 |
| 1. Relevante EuGH-Rechtsprechung zum BDSG | 24 |
| a) Entscheidung vom 6.3.2003 (Rs. C-101 / 01) | 24 |
| b) Urteil vom 20.5.2003 (Rs. T-179 / 02) | 25 |
| c) Urteil vom 8.11.2007 (Rs. T-194 / 04) | 25 |
| d) Urteil vom 16.12.2008 (C-524 / 06) | 25 |
| e) Entscheidung vom 9.3.2010 (Rs. C-518 / 07) | 26 |
| f) Entscheidung vom 24.11.2011 (verb. Rs. C-468 / 10, C-469 / 10) | 26 |
| 2. Die EU-Datenschutz-Grundverordnung | 27 |
| IV. Mit welchen Problemen muss man beim Umgang mit dem BDSG in der Praxis rechnen? | 28 |
| 1. Sprachliche Schwächen des BDSG | 28 |
| 2. Verwendung unbestimmter Rechtsbegriffe | 29 |
| 3. Fehlende Vorgaben von Gerichten und Aufsichtsbehörden | 29 |
| 4. Verschachtelter Aufbau des BDSG | 31 |
| V. Warum sollten Unternehmen das BDSG beachten? | 33 |
| Kapitel 2: Welche Grundprinzipien des BDSG sollte man kennen? | 35 |
| I. Was bedeuten Begriffe wie Verhältnismäßigkeitsgrundsatz, Datenvermeidung oder Datensparsamkeit? | 35 |
| 1. Recht auf informationelle Selbstbestimmung | 35 |
| 2. Interessenabwägung | 36 |
| 3. Datenvermeidung und Datensparsamkeit, § 3a BDSG | 37 |
| 4. Prüfung der Verhältnismäßigkeit einer konkreten Maßnahme | 38 |
| a) Geeignetheit | 38 |
| b) Erforderlichkeit | 39 |
| c) Angemessenheit | 40 |
| II. Was hat es mit dem Verbot mit Erlaubnisvorbehalt auf sich? | 40 |
| III. Was besagt der Grundsatz der Zweckbindung bei der Verarbeitung personenbezogener Daten? | 41 |
| IV. Was bedeutet Transparenz gegenüber dem Betroffenen im deutschen Datenschutzrecht? | 42 |
| Kapitel 3: Was gehört zum Basiswissen bei der praktischen Anwendung des BDSG? | 44 |
| I. Wer ist für die Einhaltung der Regeln des BDSG verantwortlich? | 44 |
| II. Für welche Formen der Datenverarbeitung gilt das BDSG? | 46 |
| 1. Einsatz von Datenverarbeitungsanlagen oder dateimäßige Verarbeitung | 46 |
| 2. Keine Anwendung des BDSG für ausschließlich persönliche oder familiäre Tätigkeiten | 48 |
| 3. Keine Anwendung des BDSG, wenn es durch Spezialgesetze verdrängt wird | 49 |
| III. Was sind personenbezogene Daten? | 50 |
| 1. Einzelangaben | 50 |
| 2. Persönliche oder sachliche Angaben | 51 |
| 3. Bestimmbarkeit einer natürlichen Person durch die fraglichen Daten | 52 |
| IV. Was sind besondere Arten personenbezogener Daten? | 52 |
| V. Was bedeutet das Erheben personenbezogener Daten? | 52 |
| 1. Bedeutung des Begriffs „Erheben“ | 53 |
| 2. Grundsatz der Direkterhebung | 54 |
| 3. Ausnahmen vom Grundsatz der Direkterhebung | 55 |
| 4. Information des Betroffenen bei der Direkterhebung | 57 |
| VI. Was ist das Verarbeiten personenbezogener Daten? | 58 |
| 1. Bedeutung des Begriffs „Speichern“ | 58 |
| 2. Bedeutung des Begriffs „Verändern“ | 58 |
| a) Anonymisieren von Daten | 60 |
| b) Pseudonymisieren von Daten | 62 |
| 3. Bedeutung des Begriffs „Übermitteln“ | 63 |
| 4. Bedeutung des Begriffs „Löschen“ | 65 |
| 5. Bedeutung des Begriffs „Sperren“ | 66 |
| VII. Was versteht man unter dem Nutzen von personenbezogenen Daten? | 67 |
| VIII. Was ist eine Auftragsdatenverarbeitung? | 68 |
| 1. Anwendungsbereich von § 11 BDSG | 68 |
| 2. Wesentliche Voraussetzung einer Auftragsdatenverarbeitung: Weisungsgebundenheit des Auftragnehmers | 70 |
| 3. Auftragsdatenverarbeitung nur innerhalb der EU oder EWR | 71 |
| 4. Auswahl und Überwachung des Auftragnehmers | 72 |
| 5. Sonderfall: Cloud Computing | 72 |
| Kapitel 4: Was muss man zur Verwendung von Einwilligungen wissen? | 75 |
| I. Kann man Einwilligungen der Betroffenen auch neben gesetzlichen Erlaubnistatbeständen einsetzen? | 76 |
| II. Welche praktischen Probleme müssen bei der Verwendung von Einwilligungen berücksichtigt werden? | 78 |
| 1. Zeitpunkt | 80 |
| 2. Widerrufbarkeit | 80 |
| 3. Inhaltliche und formelle Anforderungen an eine Einwilligung des Betroffenen | 81 |
| a) Transparenz der Einwilligung | 81 |
| b) Freiwilligkeit der Einwilligung | 82 |
| c) Informierte Einwilligung | 84 |
| d) Formelle Anforderungen an Einwilligungserklärungen | 85 |
| Kapitel 5: Gesetzliche Erlaubnisnormen des BDSG | 89 |
| I. Datenverarbeitung aufgrund gesetzlicher Anordnung | 90 |
| 1. Beispiele für anordnende Gesetzesnormen | 90 |
| 2. Inhaltliche Anforderungen an derartige Spezialnormen | 91 |
| 3. Reichweite derartiger Spezialvorschriften | 93 |
| II. Datenverarbeitung aufgrund gesetzlicher Erlaubnis(§ 28 BDSG) | 93 |
| 1. Datenverarbeitung zur Begründung, Durchführung oder Beendigung von Schuldverhältnissen, § 28 Abs. 1 Satz 1 Nr. 1 BDSG | 94 |
| a) Das Schuldverhältnis im Sinne von § 28 Abs. 1 Satz 1 Nr. 1 BDSG | 95 |
| b) Erforderlichkeit im Sinne von § 28 Abs. 1 Satz 1 Nr. 1 BDSG | 96 |
| c) Angemessene Berücksichtigung der schutzwürdigen Interessen des Betroffenen | 97 |
| 2. Datenverarbeitung zur Wahrung berechtigter Interessen der verantwortlichen Stelle, § 28 Abs. 1 Satz 1 Nr. 2 BDSG | 97 |
| a) Erfüllung eigener Geschäftszwecke | 98 |
| b) Wahrung berechtigter Interessen | 100 |
| c) Überwiegende schutzwürdige Interessen des Betroffenen | 101 |
| 3. Datenverarbeiten für Zwecke des Adresshandels oder der Werbung, § 28 Abs. 3 BDSG | 105 |
| 4. Verarbeitung sensibler Daten, § 28 Abs. 6-9 BDSG | 107 |
| III. Datenverarbeitung im Rahmen des Beschäftigungsverhältnisses (§ 32 BDSG) | 108 |
| 1. Umgang mit Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses, § 32 Abs. 1 Satz 1 BDSG | 114 |
| a) Geeignet für Zwecke des Beschäftigungsverhältnisses | 114 |
| b) Erforderlich für Zwecke des Beschäftigungsverhältnisses | 117 |
| c) Berücksichtigung schutzwürdiger Interessen des Betroffenen (Angemessenheit) | 118 |
| d) Sonderfall: „Whistleblowing“ (Hinweisgebersysteme) und § 32 Abs. 1 Satz 1 BDSG | 121 |
| e) Sonderfall: Kontrolle der E-Mails von Beschäftigten | 125 |
| aa) Bei verbotener Privatnutzung der E-Mail-Systeme | 125 |
| bb) Bei erlaubter Privatnutzung der E-Mail-Systeme | 126 |
| cc) Regelungen zur Nutzung betrieblicher IT-Systeme | 129 |
| dd) Durchführung von E-Mail-Kontrollen | 131 |
| 2. Aufdeckung von Straftaten im Beschäftigungsverhältnis, § 32 Abs. 1 Satz 2 BDSG | 133 |
| a) Anwendungsbereich von § 32 Abs. 1 Satz 2 BDSG | 133 |
| b) Anforderungen an den Umgang mit Beschäftigtendaten zur Aufdeckung von Straftaten | 136 |
| aa) Geeignet für Zwecke der Aufdeckung von Straftaten | 136 |
| bb) Erforderlich zum Zweck der Aufdeckung von Straftaten | 137 |
| cc) Angemessene Berücksichtigung schutzwürdiger Interessen des Betroffenen | 137 |
| c) Vorgaben der Rechtsprechung | 140 |
| d) Allgemeine Empfehlungen zum Umgang mit Beschäftigtendaten | 141 |
| e) Mitbestimmungsrechte des Betriebsrats | 143 |
| aa) Gesetzliche Aufgaben des Betriebsrats | 144 |
| bb) Information des Betriebsrats | 144 |
| cc) Mitbestimmungsrechte des Betriebsrats | 145 |
| f) Betriebsvereinbarungen als Rechtsgrundlage für Datenumgang | 146 |
| aa) Regelungsrahmen von Betriebsvereinbarungen | 146 |
| bb) Beispielsfall: Betriebsvereinbarung zur Videoüberwachung | 148 |
| Kapitel 6: Der Datenschutzbeauftragte im Unternehmen | 159 |
| I. Wann müssen Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen? | 161 |
| 1. Unternehmen, die 10 oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen | 163 |
| 2. Unternehmen, die 20 oder mehr Personen mit der nicht-automatisierten Verarbeitung personenbezogener Daten beschäftigen | 165 |
| 3. Unternehmen, die besondere Voraussetzungen erfüllen | 166 |
| a) Geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung oder der Markt- oder Meinungsforschung | 167 |
| b) Verarbeitungen, die einer Vorabkontrolle unterliegen | 167 |
| II. Welche Stellung und Rechte muss der Datenschutzbeauftragte im Unternehmen haben? | 167 |
| 1. Erforderliche Fachkunde | 168 |
| 2. Erforderliche Zuverlässigkeit | 168 |
| III. Welche Aufgaben hat der Datenschutzbeauftragte? | 169 |
| 1. Hinwirken auf die Befolgung der Vorschriften über den Datenschutz | 169 |
| 2. Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen | 170 |
| 3. Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen | 171 |
| 4. Bekanntmachung des Verfahrensverzeichnisses | 171 |
| 5. Durchführung einer Vorabkontrolle | 173 |
| a) Besonders riskante automatisierte Verfahren | 173 |
| b) Durchführung der Vorabkontrolle durch den Datenschutzbeauftragten | 175 |
| c) Umfang der Vorabkontrolle | 175 |
| IV. Welche Stellung und Befugnisse hat der betriebliche Datenschutzbeauftragte? | 176 |
| 1. Direkte Berichtslinie zur Unternehmensleitung | 176 |
| 2. Kündigungsschutz, Widerruf der Bestellung und Benachteiligungsverbot | 177 |
| 3. Unterstützung, Kontrollbefugnisse und Fortbildung | 177 |
| a) Unterstützung bei Kontrollaufgaben des Datenschutzbeauftragten | 177 |
| b) Kontrollbefugnisse des betrieblichen Datenschutzbeauftragten | 178 |
| c) Fort- und Weiterbildung des Datenschutzbeauftragten | 179 |
| 4. Verschwiegenheitspflichten des betrieblichen Datenschutzbeauftragten | 179 |
| Kapitel 7: Anforderungen an den grenzüberschreitenden Datenverkehr | 180 |
| I. Wie prüft man in der ersten Stufe die Zulässigkeit der Übermittlung an sich? | 182 |
| II. Wie wird in der zweiten Stufe die Zulässigkeit der grenzüberschreitenden Datenübermittlung geprüft? | 182 |
| 1. Der Sitz des Datenempfängers als Ausgangspunkt | 182 |
| 2. Entgegenstehende schutzwürdige Interessen | 183 |
| a) Drittstaaten mit anerkanntem angemessenen Schutzniveau | 184 |
| b) Sonderregelung für Datenempfänger in den USA: Safe Harbor-Abkommen | 184 |
| c) Ausnahmen vom Verbot der Übermittlung an Stellen ohne angemessenes Schutzniveau | 186 |
| aa) Einwilligungen | 187 |
| bb) Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen | 188 |
| d) Sonderfälle: Standardvertragsklauseln oder verbindliche Unternehmensregelungen („Binding Corporate Rules“) | 189 |
| aa) Verwendung der EU-Standard-Vertragsklauseln | 189 |
| bb) Verbindliche Unternehmensregelungen („Binding Corporate Rules“) | 190 |
| cc) Verbindliche Unternehmensregelungen für Auftragsverarbeiter („Binding Corporate Rules for Processors“) | 191 |
| Kapitel 8: Umgang mit Datenpannen nach § 42a BDSG | 193 |
| I. Wozu dient § 42a BDSG? | 193 |
| II. Welche Voraussetzungen hat § 42a Satz 1 BDSG? | 195 |
| 1. Unrechtmäßige Kenntniserlangung durch Dritte | 195 |
| 2. Feststellung der Datenpanne | 197 |
| 3. Relevante Datenarten nach § 42a Satz 1 Nr. 1– 4 BDSG | 197 |
| a) Besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG | 198 |
| b) Personenbezogene Daten, die einem Berufsgeheimnis unterliegen | 198 |
| c) Personenbezogene Daten, die im Zusammenhang mit Straftaten oder Ordnungswidrigkeiten stehen | 198 |
| d) Personenbezogene Daten zu Bank- oder Kreditkartenkonten | 199 |
| 4. Drohende schwerwiegende Beeinträchtigungen | 199 |
| a) Schwere der drohenden Beeinträchtigungen | 199 |
| b) Beurteilungsspielraum des Unternehmens | 200 |
| III. Was sind die Rechtsfolgen von § 42a Satz 1 BDSG? | 201 |
| 1. Information der Aufsichtsbehörde | 201 |
| 2. Information der Betroffenen | 202 |
| Kapitel 9: Organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten | 205 |
| I. Was umfassen Zutritts-, Zugangs- und Zugriffskontrollen? | 206 |
| II. Worum geht es bei Weitergabe-, Eingabe-, Auftrags und Verfügbarkeitskontrollen? | 208 |
| III. Was verlangt das Trennungsgebot? | 209 |
| Kapitel 10: Die Unterrichtung des Betroffenen | 210 |
| I. Wann muss man den Betroffenen nach § 33 BDSG informieren? | 210 |
| 1. Voraussetzungen der Benachrichtigungspflicht | 211 |
| 2. Umfang der Benachrichtigungspflicht | 211 |
| 3. Ausnahmen von der Benachrichtigungspflicht | 212 |
| 4. Folgen einer Nichtbeachtung der Benachrichtigungspflicht | 212 |
| II. Wann muss dem Betroffenen Auskunft erteilt werden? | 213 |
| 1. Voraussetzungen der Auskunftspflicht nach § 34 BDSG | 213 |
| 2. Umfang der Auskunftspflicht | 214 |
| 3. Ausnahmen von der Auskunftspflicht | 216 |
| 4. Folgen bei Nichtbeachtung der Auskunftspflicht | 216 |
| Kapitel 11: Folgen von Verstößen gegen das BDSG | 217 |
| I. Wen trifft die Verantwortung für Datenschutzverstöße im Unternehmen? | 217 |
| II. Welche strafrechtlichen Risiken drohen bei Datenschutzverstößen? | 218 |
| 1. Anforderungen an eine Strafbarkeit nach § 44 BDSG | 218 |
| a) Begehung einer vorsätzlichen Ordnungswidrigkeit nach § 43 Abs. 2 BDSG | 219 |
| b) Handeln gegen Entgelt | 219 |
| c) Handeln in (Selbst- oder Fremd-)Bereicherungsabsicht | 221 |
| d) Handeln mit Schädigungsabsicht | 221 |
| e) Strafantrag nach § 44 Abs. 2 BDSG | 224 |
| 2. Kritik an dem geltenden § 44 BDSG | 224 |
| 3. Weitere Strafnormen zur Verletzung des persönlichen Lebens- und Geheimbereichs | 225 |
| 4. Von Strafbarkeitsrisiken bedrohte Betroffene im Unternehmen | 225 |
| a) Strafbarkeit des Datenschutzbeauftragten | 226 |
| b) Strafbarkeit der Unternehmensleitung | 228 |
| III. Welche ordnungsrechtlichen Sanktionen drohen bei Datenschutzverstößen? | 229 |
| IV. Welche zivilrechtlichen Risiken drohen beiDatenschutzverstößen? | 230 |
| 1. Ansprüche nach § 7 BDSG | 230 |
| a) Vermögensschaden | 230 |
| b) Kausalität | 231 |
| c) Verschulden | 231 |
| 2. Sonstige zivilrechtliche Ansprüche wegen Verstößen gegen das BDSG | 232 |
| Kapitel 12: Welche Aufgaben und Rechte die Aufsichtsbehörden für den Datenschutz? | 233 |
| I. Wie ist die Datenschutzaufsicht in Deutschland organisiert? | 233 |
| II. Wie kontrollieren die Aufsichtsbehörden die Einhaltung des Datenschutzes in Unternehmen? | 234 |
| 1. Anlässe für die Durchführung von Datenschutz-Kontrollen | 234 |
| 2. Ablauf einer Datenschutz-Kontrolle | 235 |
| III. Was passiert, wenn die Aufsichtsbehörde anlässlich der Kontrolle tatsächlich Mängel feststellt? | 237 |
| 1. Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße | 237 |
| 2. Untersagung schwerwiegender Verstöße | 238 |
| a) Schwerwiegende Verstöße oder Mängel | 238 |
| b) Erfolglose Anordnung zur Beseitigung | 238 |
| 3. Zuständigkeit für die Ahndung von Ordnungswidrigkeiten | 239 |
| IV. Wann kann die Aufsicht den betrieblichen Datenschutzbeauftragten abberufen? | 239 |
| V. Welche weiteren Aufgaben haben Aufsichtsbehörden? | 241 |
| 1. Veröffentlichen von Tätigkeitsberichten | 241 |
| 2. Beratung und Unterstützung der Unternehmen | 241 |
| Teil 2: Abdruck und Kurzkommentierung der wichtigsten Vorschriften des BDSG | 244 |
| Einleitung | 244 |
| Erster Abschnitt: Allgemeine und gemeinsame Bestimmungen | 245 |
| § 1 Zweck und Anwendungsbereich des Gesetzes | 245 |
| § 2 Öffentliche und nicht-öffentliche Stellen | 248 |
| § 3 Weitere Begriffsbestimmungen | 250 |
| § 3a Datenvermeidung und Datensparsamkeit | 255 |
| § 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung | 256 |
| § 4a Einwilligung | 259 |
| § 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen | 262 |
| § 4c Ausnahmen | 267 |
| § 4d Meldepflicht | 271 |
| § 4e Inhalt der Meldepflicht | 275 |
| § 4f Beauftragter für den Datenschutz | 276 |
| § 4g Aufgaben des Beauftragten für den Datenschutz | 282 |
| § 5 Datengeheimnis | 284 |
| § 6 Rechte des Betroffenen | 286 |
| § 6a Automatisierte Einzelentscheidung | 288 |
| § 6b Beobachtung öffentlich zugänglicher Räume mit optischel ektronischen Einrichtungen | 289 |
| § 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien | 292 |
| § 7 Schadensersatz | 294 |
| § 8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen | 295 |
| § 9 Technische und organisatorische Maßnahmen | 295 |
| § 9a Datenschutzaudit | 299 |
| § 10 Einrichtung automatisierter Abrufverfahren | 299 |
| § 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag | 301 |
| Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen | 304 |
| § 12 Anwendungsbereich | 304 |
| § 13 Datenerhebung | 305 |
| § 14 Datenspeicherung, -veränderung und -nutzung | 306 |
| § 15 Datenübermittlung an öffentliche Stellen | 308 |
| § 16 Datenübermittlung an nicht-öffentliche Stellen | 309 |
| § 17 (weggefallen) | 309 |
| § 18 Durchführung des Datenschutzes in der Bundesverwaltung | 309 |
| § 19 Auskunft an den Betroffenen | 310 |
| § 19a Benachrichtigung | 311 |
| § 20 Berichtigung, Löschung und Sperrung von Daten | Widerspruchsrecht | 312 |
| § 21 Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit | 313 |
| § 22 Wahl des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit | 314 |
| § 23 Rechtsstellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit | 315 |
| § 24 Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit | 317 |
| § 25 Beanstandungen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit | 318 |
| § 26 Weitere Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit | 319 |
| Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen | 320 |
| § 27 Anwendungsbereich | 320 |
| § 28 Datenerhebung und -speicherung für eigene Geschäftszwecke | 321 |
| § 28a Datenübermittlung an Auskunfteien | 331 |
| § 28b Scoring | 333 |
| § 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung | 335 |
| § 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form | 338 |
| § 30a Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung | 340 |
| § 31 Besondere Zweckbindung | 341 |
| § 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses | 343 |
| § 33 Benachrichtigung des Betroffenen | 347 |
| § 34 Auskunft an den Betroffenen | 349 |
| § 35 Berichtigung, Löschung und Sperrung von Daten | 354 |
| §§ 36 und 37 (weggefallen) | 357 |
| § 38 Aufsichtsbehörde | 357 |
| § 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen | 361 |
| Vierter Abschnitt: Sondervorschriften | 362 |
| § 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen | 362 |
| § 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen | 364 |
| § 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien | 364 |
| § 42 Datenschutzbeauftragter der Deutschen Welle | 365 |
| § 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten | 366 |
| Fünfter Abschnitt: Schlussvorschriften | 368 |
| § 43 Bußgeldvorschriften | 368 |
| § 44 Strafvorschriften | 371 |
| Sechster Abschnitt: Übergangsvorschriften | 372 |
| § 45 Laufende Verwendungen | 372 |
| § 46 Weitergeltung von Begriffsbestimmungen | 373 |
| § 47 Übergangsregelung | 373 |
| § 48 Bericht der Bundesregierung | 373 |
| Anhang | 375 |
| 1. German Federal Data Protection Act (BDSG) | 375 |
| 2. Praktiker-Glossar | 433 |
| 3. Ausgewählte Beschlüsse des Düsseldorfer Kreises von 2006 bis 2014 | 471 |
| 4. Ausgewählte Stellungnahmen und Entscheidungen der Artikel 29 Datenschutzgruppe von 2008 – 2014 | 473 |
| Sachregister | 481 |
