S. 1I. Grundlagen des Datenschutzrechts

1. Was ist die Datenschutzgrundverordnung?

Die Datenschutzgrundverordnung (kurz DSGVO) ist ein Rechtsakt der Europäischen Union, der für alle Rechtsunterworfenen unmittelbar gilt. Die DSGVO wurde nach langen und umfangreichen Verhandlungen erlassen und trat am 25.5.2018 in Kraft.

Die Verordnung änderte das bestehende Datenschutzrecht zwar nicht grundlegend, es kam aber zu einzelnen Verschärfungen und einigen Systemumstellungen. Am augenscheinlichsten sind dabei die drastische Erhöhung der Höchststrafen bei Datenschutzverstößen und die Einführung von mehr Selbstverantwortung bei der Datenverarbeitung, was in Österreich die Abschaffung des Datenverarbeitungsregisters (DVR) und der dort verpflichtenden Meldungen zur Folge hatte. Neben der DSGVO gelten in Österreich das neu überarbeitete Datenschutzgesetz (DSG) sowie etliche datenschutzrechtliche Spezialregelungen in einzelnen Gesetzen, wie etwa im Telekommunikationsgesetz 2021 (TKG 2021) oder in der Gewerbeordnung 1994 (GewO) (siehe zB Frage 43).

2. Wieso ist die DSGVO für das Marketing relevant?

Erfolgreiches Marketing zeichnet sich meist durch außergewöhnliche Innovationskraft aus. Insbesondere seit der weltweiten Verbreitung des Web 2.0 haben sich neuartige Konzepte entwickelt, mit denen potenzielle Kunden auf vorher nicht denkbare Art und Weise angesprochen werden können. So ist es mittlerweile üblich, zB aus dem Nutzerverhalten von Personen im Internet oder aus deren mittels Kundenkarte erhobenen Einkaufsgewohnheiten die individuellen Bedürfnisse und Vorlieben so auszuwerten, dass die Personen direkt und zielgenau angesprochen und beworben werden können.

Da ein gezieltes Bespielen von Zielgruppen mit maßgeschneiderter Werbung (sog Targeting) über „neue Medien“ besonders effektiv umgesetzt werden kann, findet Marketing mittlerweile verstärkt auf Social-Media-Plattformen statt. Weitere Faktoren wie verhältnismäßig geringe Kosten, die direkte Interaktionsmöglichkeit mit Kunden und die Möglichkeit der Kundenanalyse durch den gezielten Einsatz von Cookies machen Social-Media-Marketing zu einem gleichermaßen macht- wie reizvollen Instrument für Unternehmen.

Die wichtigste Ressource für diese unter den Schlagworten „Profiling“, „GenderMarketing“, „Ethno-Marketing“ etc firmierenden Konzepte sind Daten. Ohne die Verarbeitung personenbezogener Daten sind viele mittlerweile übliche Geschäftsmodelle im Marketingbereich nicht mehr denkbar.

S. 2Das Datenschutzrecht, das mit Inkrafttreten der DSGVO eine weitere Aufwertung erfahren hat, ist dabei in höchstem Maße beachtlich: Einerseits beeinflusst es die tägliche Arbeit, indem es vielfältige Pflichten wie die Erteilung bestimmter Informationen an betroffene Personen, die Führung von Verarbeitungsverzeichnissen, die Benennung von Datenschutzbeauftragten oder Regeln für die Ausgestaltung der technischen Infrastruktur aufstellt. Andererseits schränkt das Datenschutzrecht aber bestimmte, grundsätzlich mögliche Marketinginstrumente generell ein oder erschwert deren Einsatz zB dadurch, dass eine vorherige Zustimmung einzuholen ist.

Aus diesem Grund ist es gerade im Marketingbereich entscheidend, ein Bewusstsein für das Datenschutzrecht zu schaffen und dessen Regeln zu beachten. Bleibt man hier engagement- und tatenlos, drohen drastisch erhöhte Verwaltungsstrafen sowie zivil- und wettbewerbsrechtliche Klagen in einem existenzgefährdenden Ausmaß.

3. Für wen gilt die DSGVO?

Die Regeln der DSGVO gelten für zwei Arten von Akteuren, nämlich „Verantwortliche“ und „Auftragsverarbeiter“.

Ein Verantwortlicher ist diejenige (natürliche oder juristische) Person, die allein oder gemeinsam mit anderen (sog „gemeinsame Verantwortliche“ gemäß Art 26 DSGVO) über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Anders gesagt gilt derjenige als Verantwortlicher, der entschieden hat, personenbezogene Daten zu verarbeiten, und dabei auch das „Warum“ (respektive: „das Ziel der Verarbeitung“) und das „Wie“ der Verarbeitung bestimmt.

Bei der gemeinsamen Verantwortlichkeit ist es nicht zwingend erforderlich, dass die jeweiligen Akteure (Verantwortlichen) einen gleichwertigen Beitrag zu einer Datenverarbeitung leisten. Sie können auch in verschiedenen Phasen einer Datenverarbeitung in unterschiedlichem Ausmaß wirken. Dass jeder Verantwortliche Zugriff auf die verarbeiteten Daten hat, ist nicht erforderlich. Der Grad der Verantwortlichkeit ist dabei stets im Einzelfall zu beurteilen. Gemeinsam Verantwortliche müssen gemäß Art 26 Abs 1 DSGVO in Verbindung mit ErwGr 79 der DSGVO in einer Vereinbarung festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt. Der Abschluss einer solchen Vereinbarung ist jedoch nicht Voraussetzung für die rechtliche Qualifikation als gemeinsam Verantwortliche.

Ein Auftragsverarbeiter ist hingegen eine (natürliche oder juristische) Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet; im Unterschied zum Verantwortlichen entscheidet der Auftragsverarbeiter gerade nicht über Zwecke und (wesentliche) Mittel einer Datenverarbeitung. Angesprochen sind dabei Dienstleister, an die bestimmte Datenverarbeitungen outgesourct werden: Beauftragt zB ein Marketingunternehmen einen Cloud-Anbieter mit der VerS. 3arbeitung der eigenen personenbezogenen Daten in der vom Anbieter betriebenen digitalen Cloud, ist der Cloud-Anbieter hinsichtlich der Verarbeitung dieser personenbezogenen Daten Auftragsverarbeiter; er kann dabei in der Regel nicht über den Verarbeitungszweck und, wenn überhaupt, nur in untergeordnetem Umfang über die Mittel der Verarbeitung entscheiden, sondern ist weitestgehend an die Weisungen des Marketingunternehmens gebunden. Sobald diese Weisungen jedoch (unzulässigerweise) überschritten und die im Auftrag des Marketingunternehmens verarbeiteten personenbezogenen Daten zu anderen Zwecken oder mit anderen Mitteln (zB vereinbarungswidrige Verlegung des Standorts der Datenverarbeitung in ein Drittland) als vereinbart verarbeitet werden, ist der Cloud-Anbieter in Bezug auf diese Verarbeitung als Verantwortlicher anzusehen (was in diesem Fall Sanktionen wegen unrechtmäßiger Verarbeitung nach sich ziehen wird). Für Auftragsverarbeiter gelten mitunter spezielle Regeln (siehe Frage 117 bis Frage 125).

Bei der Zuordnung der Rollen des Verantwortlichen und des Auftragsverarbeiters wird ein funktioneller Ansatz verfolgt: Derjenige, der faktisch über Zwecke und Mittel einer Datenverarbeitung entscheidet, ist auch dann Verantwortlicher, wenn er diese Datenverarbeitung unrechtmäßig durchführt oder ihm formal (zB aufgrund einer vertraglichen Vereinbarung) eine andere Rolle zugewiesen ist. In den meisten Fällen ist ein Unternehmen, das in irgendeiner Form Daten natürlicher Personen verarbeitet, demnach Verantwortlicher und hat als solcher die DSGVO zu beachten; Verantwortlicher ist dabei im Regelfall das Unternehmen als solches – also oft eine juristische Person – und nicht ein konkreter Mitarbeiter.

Unternehmen der Werbe- und Marketingbranche kann je nachdem, mit welcher Art von Dienstleistung sie beauftragt werden, die Rolle eines Verantwortlichen oder eines Auftragsverarbeiters zukommen: Steht die Verarbeitung personenbezogener Daten nicht im Mittelpunkt des Auftrags ihrer Kunden (die in solchen Konstellationen Verantwortliche sind), werden sie als Auftragsverarbeiter tätig. Dies kann etwa bei der Betreuung einer Social-Media-Präsenz im Auftrag eines Unternehmens der Fall sein. Bildet die Datenverarbeitung jedoch nicht das zentrale Element des Auftrags, sondern ist sie nur ein Nebenaspekt, und gibt es keine für ein Auftragsverarbeiterverhältnis typische enge Weisungsbindung zwischen Unternehmen und Kunden im Sinne einer detaillierten Vorgabe von Zweck und Mitteln, so kommt dem Werbe- und Marketingunternehmen die Rolle eines Verantwortlichen zu (zur Abgrenzung der Rollen des Verantwortlichen und des Auftragsverarbeiters im Detail siehe Frage 117).

4. Für wen gilt die DSGVO nicht?

Ausgenommen vom Anwendungsbereich der DSGVO sind (neben einzelnen Sicherheitsbehörden) natürliche Personen, die Datenverarbeitungen zur AusS. 4übung ausschließlich persönlicher oder familiärer Tätigkeiten durchführen. Diese „Haushaltsausnahme“ nimmt also rein private Tätigkeiten wie die Führung eines privaten Adressbuchs, das Abwickeln privaten Schriftverkehrs, die private Teilnahme am Versandhandel, die private Vermögensführung oder die Nutzung sozialer Netze zur Interaktion innerhalb eines begrenzten Personenkreises von der DSGVO aus.

Sobald jedoch ein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit besteht, gilt die Ausnahme nicht, wobei hier ein strenger Maßstab anzulegen ist. So fallen auch Vorbereitungshandlungen für wirtschaftliche Tätigkeiten (zB Markt- und Meinungsforschung) oder ehrenamtliche Tätigkeiten (zB in Vereinen) in den Anwendungsbereich der DSGVO.

In diesem Sinne werden auch zB Blogger nicht mehr in die Haushaltsausnahme fallen, sobald damit wirtschaftliche Perspektiven verfolgt werden (zB Werbeschaltungen im Blog).

Eine weitere bedeutende Ausnahme enthält § 9 DSG iVm Art 85 DSGVO. Danach sind bei der Verarbeitung von personenbezogenen Daten durch

• Medieninhaber,

• Herausgeber,

• Medienmitarbeiter und

• Arbeitnehmer eines Medienunternehmens oder Mediendienstes (diese Begriffe werden in § 1 Mediengesetz definiert)

zu journalistischen Zwecken (!) des Medienunternehmens oder Mediendienstes der Großteil der DSGVO (ausgenommen ist lediglich Kapitel VIII: Rechtsschutz und Sanktionen) und das DSG nicht anwendbar. Dieses „Medienprivileg“ soll die freie Meinungsäußerung und die Informationsfreiheit wahren. Investigativer Journalismus wäre nämlich nicht möglich, wenn personenbezogene Daten betroffener Personen nur mit Rechtsgrund verarbeitet werden dürften und diese Personen über die Verarbeitungen informiert werden müssten. Auch hier ist jedoch das Grundrecht auf Datenschutz gemäß § 1 DSG anwendbar. Da der Verfassungsgerichtshof die Ausnahmebestimmung des § 9 Abs 1 DSG in der Zwischenzeit jedoch als verfassungswidrig aufgehoben hat, tritt diese Bestimmung mit Ablauf des 30.6.2024 außer Kraft. Die Aufhebung wurde damit begründet, dass die Bestimmung eine zu weitreichende (pauschale) Ausnahme vom Anwendungsbereich der DSGVO und des DSG vorsieht und daher gegen das Grundrecht auf Datenschutz nach § 1 Abs 1 DSG verstößt. Der Gesetzgeber steht somit vor der Herausforderung, das Medienprivileg auf eine neue rechtliche Basis zu stellen und einen nach sachlichen Gesichtspunkten differenzierenden Ausgleich zwischen dem Interesse betroffener Personen am Schutz personenbezogener Daten und dem Interesse der Medien als „Public Watchdog“ an journalistischer Tätigkeit zu schaffen.

S. 55. Welche Daten werden geschützt?

Die DSGVO schützt personenbezogene Daten natürlicher Personen. Personenbezogene Daten sind in der sehr weiten Definition der Verordnung alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Unter solche Informationen fallen Identifikationsmerkmale (zB Name, Anschrift, Geburtsdatum, Sozialversicherungsnummer), äußere Merkmale (Geschlecht, Augenfarbe, Größe, Gewicht, Hautfarbe), innere Zustände (zB Meinungen, Religionszugehörigkeiten, Motive, Wünsche, Überzeugungen und Werturteile) sowie sachliche Informationen wie Vermögensverhältnisse oder Vertragsbeziehungen.

Sobald anhand dieser Informationen eine natürliche Person identifiziert werden kann, handelt es sich um personenbezogene Daten. Identifizierbar kann eine Person dabei nicht nur sein, wenn auch der Name Teil der Information ist, sondern auch, wenn die betroffene Person umschrieben („die amtierende Bürgermeisterin von Innsbruck“, „der im Haus Mustergasse 12 lebende Muslim“, „die reichste Frau Österreichs“) oder auf einem Foto oder Video erfasst wird.

Identifizierbar ist eine Person auch dann, wenn sie zwar nicht vom Datenverarbeiter selbst, sondern überhaupt mit nach allgemeinem Ermessen wahrscheinlich zur Anwendung gelangenden Mitteln identifiziert werden kann. Auch bei IP-Adressen, Cookie-Kennungen und Sozialversicherungs- oder Kundennummern handelt es sich demnach um geschützte Daten.

Keinen Schutz genießen hingegen Daten, die keine Rückschlüsse auf eine natürliche Person zulassen, wie es zB bei Aufzeichnungen zu Art und Dauer des Besuchs einer Website („X Personen besuchten eine Website im Durchschnitt Y Minuten“) oder statistischen Auswertungen zum Verhalten von Kunden („Wer Produkt A kauft, interessiert sich auch für Produkt B“) der Fall sein kann.

Zu beachten ist, dass auch pseudonymisierte Daten als personenbezogene Daten geschützt sind, wenn sie durch Heranziehung zusätzlicher Informationen einer Person zugeordnet werden können. Es ändert also beispielsweise nichts an der Anwendbarkeit der DSGVO, wenn ein Verantwortlicher pseudonymisierte Datensätze an einen Empfänger übermittelt, Letzterer aber über Mittel zur Re-Identifizierung der Personen verfügt, auf welche sich die Daten beziehen. Ebenso verhält es sich, wenn der Empfänger die Möglichkeit hat, die zur Re-Identifizierung notwendigen Mittel aufgrund eines Rechtsanspruches gegen den Datenübermittler zu erlangen.

6. Gilt das Datenschutzrecht auch, wenn ich Daten von juristischen Personen verarbeite?

Die DSGVO schützt nur personenbezogene Daten natürlicher Personen; Daten juristischer Personen dürfen demnach ohne Rücksicht auf die DSGVO verarbeitet werden. Dabei ist jedoch zu beachten, dass alle jene Daten, die zwar mit jurisS. 6tischen Personen in Zusammenhang stehen, aber Rückschlüsse auf natürliche Personen geben, wiederum als personenbezogene Daten geschützt sind. Nicht geschützt sind demnach Daten wie der Firmenname, die Rechtsform und die Kontaktdaten eines als juristische Person organisierten Unternehmens, solange diese allgemein verfügbar sind. Bei der Verarbeitung von Daten zu dort tätigen Personen ist die DSGVO hingegen anwendbar. Es ist daher im Hinblick auf die DSGVO zwar unbedenklich, den Datensatz „XY GmbH, A-Straße 1, 1010 Wien“ zu verarbeiten, der Datensatz „XY GmbH, Geschäftsführerin Frau Z“ darf aber nur unter den Bedingungen der DSGVO verarbeitet werden.

Juristische Personen sind jedoch nicht schutzlos, weil auch diese ein Grundrecht auf Datenschutz nach § 1 Abs 1 DSG haben. Auch juristischen Personen kommen daher die mit dem Grundrecht auf Datenschutz verbundenen Rechte auf Geheimhaltung, Auskunft, Richtigstellung unrichtiger Daten und Löschung von unzulässigerweise verarbeiteten Daten zu. Zudem sind die in § 160 Abs 3 Z 6 bis 8 TKG 2021 gesetzlich definierten Datenkategorien (Stammdaten, Verkehrsdaten und Inhaltsdaten) durch die einschlägigen Bestimmungen des TKG 2021 geschützt, soferne diese Daten nicht öffentlich zugänglich sind. Dies ist mitunter relevant für die Möglichkeit, juristischen Personen Nachrichten zu Werbezwecken über ein elektronisches Kommunikationsmedium zu übermitteln (siehe Frage 42).

7. Wann werden Daten „verarbeitet“?

Der Begriff der Datenverarbeitung ist sehr weit: Die DSGVO versteht darunter „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Beispiele dafür sind

• das Erheben und Erfassen (zB durch Ausfüllen eines Web-Formulars, Anfertigen eines Fotos),

• die Organisation und das Ordnen (zB Aufnahme in eine Datenbank),

• die Speicherung (zB Aufbewahrung von Daten auf einem Computer, in einem E-Mail-Postfach oder in einer Cloud),

• die Anpassung oder Veränderung (zB ständige Aktualisierung von Vermögensdaten),

• das Auslesen und Abfragen (zB die Gewinnung von Daten aus einer Datenbank),

• die Verwendung (zB Heranziehung einer E-Mail-Adresse für den Mailversand),

• die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung (zB die Veröffentlichung von Daten im Internet),

• der Abgleich oder die Verknüpfung (zB Auswertung des Kaufverhaltens von Personen im Hinblick auf ihr Einkommen),

• die Einschränkung (zB Sperrung von Daten für bestimme Verarbeitungen) oder

• das Löschen oder die Vernichtung (zB die unwiderrufliche Entfernung von Daten von Datenträgern).

S. 78. Sind nur automatisierte Datenverarbeitungen geschützt?

Die DSGVO ist technologieneutral. Aus diesem Grund hängt der Schutz von Daten nicht von der verwendeten Technik ab, sondern umfasst grundsätzlich sowohl ganz oder teilweise automationsunterstützte Datenverarbeitungen als auch manuelle Verarbeitungen. Letztere sind aber nur dann vom Anwendungsbereich der DSGVO umfasst, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Das bedeutet, dass sämtliche computergestützte Datenverarbeitungen (PC, Smartphone, Tablet, Kopierer, Cloud etc) den Regeln der DSGVO unterliegen. Bei manuellen Verarbeitungen kommt es darauf an, ob dabei eine systematisierte Datensammlung erzeugt wird (zB manuelle Kundenkartei, alphabetisches Telefonbuch). Unsystematisierte Daten wie etwa (Papier-)Akten oder Aktensammlungen samt ihren Deckblättern, lose Zettelsammlungen oder Post-its, die nicht nach bestimmten Kriterien geordnet sind, werden nicht von der DSGVO geschützt. Dies bedeutet in der Praxis, dass etwa auf ein Löschungsbegehren eines Kunden nicht in der Form reagiert werden muss, dass dessen Daten an jeder nur erdenklichen Stelle im Unternehmen gesucht und entfernt werden müssen, sondern nur in systematisierten Datenbanken (siehe zum Recht auf Löschung Frage 84).

9. Was sind besondere Kategorien personenbezogener Daten?

Neben den „gewöhnlichen“ personenbezogenen Daten kennt die DSGVO auch „besondere Kategorien personenbezogener Daten“. Diese werden meist als „sensible Daten“ bezeichnet.

Sensible Daten sind

• die rassische und ethnische Herkunft,

• politische Meinungen,

• religiöse oder weltanschauliche Überzeugungen,

• die Gewerkschaftszugehörigkeit,

• genetische Daten,

• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,

• Gesundheitsdaten und

• Daten zum Sexualleben oder der sexuellen Orientierung.

Werden sensible Daten verarbeitet (Ethno-Marketing, Identifizierung mittels Gesichtsfotos), sieht die DSGVO verschärfte Bedingungen vor: Die Befugnis zur Datenverarbeitung ist wesentlich eingeschränkt und die Pflichten zur Bestellung eines Datenschutzbeauftragten, zur Führung eines Verarbeitungsverzeichnisses und zur Durchführung von Datenschutz-Folgenabschätzungen sind teilweise S. 8daran geknüpft. Der Vorsichtsmaßstab, den der Verantwortliche im Umgang mit diesen Datenkategorien beachten muss, erhöht sich auch insofern, als in der Regel aufwendigere technische und organisatorische Maßnahmen getroffen werden müssen, um ein angemessenes Schutzniveau für verarbeitete Daten zu gewährleisten (siehe Frage 110).

10. Ist die DSGVO nur in Europa beachtlich?

Der räumliche Anwendungsbereich der DSGVO ist sehr weit und erstreckt sich einerseits auf Fälle, in denen der Datenverarbeiter in der Europäischen Union sitzt, und andererseits auf Fälle, in denen sich die betroffenen Personen in der EU befinden (mit der EU gleichgesetzt sind in diesem Sinne die EWR-Länder Island, Liechtenstein und Norwegen, wo die DSGVO ebenfalls gilt).

So ist die DSGVO erstens anwendbar, wenn sich die Niederlassung eines Verarbeiters in der EU befindet und die Datenverarbeitung im Rahmen der Tätigkeiten dieser Niederlassung stattfindet („Niederlassungsprinzip“). Dies gilt unabhängig davon, ob die konkrete Verarbeitung in der EU stattfindet. Unter einer Niederlassung wird dabei eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung verstanden; es kann sich dabei also auch um Zweigstellen oder Tochtergesellschaften ausländischer Unternehmen handeln.

Zweitens gilt die DSGVO für alle Verarbeitungen von Daten über Personen, die sich in der EU befinden, wenn damit (entgeltlich oder unentgeltlich) Waren oder Dienstleistungen angeboten werden sollen („Marktortprinzip“). Die bloße Abrufbarkeit einer Website in der EU reicht dafür nicht aus, hinzukommen muss vielmehr eine sichtliche Ausrichtung auf den europäischen Markt durch Verwendung einer Sprache eines EU-Landes oder die Möglichkeit, Bestellungen in die EU zu tätigen oder mit europäischen Währungen zu bezahlen.

Ebenso unterliegt die Beobachtung des Verhaltens von Personen, die sich in der EU befinden und ihr Verhalten dort setzen, der Anwendung der DSGVO; dabei angesprochen ist vor allem Profiling bezüglich des Online-Verhaltens von Benutzern.

Zusammengefasst gilt die DSGVO also für alle Datenverarbeiter, die entweder eine europäische Niederlassung haben oder den europäischen Markt adressieren. Damit wird gewährleistet, dass auch ausländische Unternehmen, die in der EU tätig sind, die strengen Regeln des europäischen Datenschutzrechts beachten müssen.

11. Wieso gibt es zurzeit so viele Unklarheiten und unterschiedliche Meinungen zur DSGVO?

Die DSGVO brachte einen völlig neuen Ansatz des Umgangs mit personenbezogenen Daten in Europa. Während zuvor zwar eine EU-Richtlinie galt, die Datenschutzregimes in den einzelnen Ländern jedoch unterschiedliche VorgehensS. 9weisen verfolgten, wurde mit der DSGVO ein einheitlicher, europaweit geltender Maßstab eingeführt.

Zudem legt die DSGVO den einzelnen Verantwortlichen durch die Einführung neuer Instrumente wie zB das Verarbeitungsverzeichnis (siehe Kapitel VIII Das Verarbeitungsverzeichnis) oder die Datenschutz-Folgenabschätzung (DSFA) ein beachtliches Maß an Eigenverantwortung auf. Diese Instrumente sind teilweise gänzlich neuartig oder waren zuvor nur in einzelnen Ländern bekannt.

Da die DSGVO demnach ein völlig neues Regelwerk ist, existieren auch nach mehr als fünf Jahren praktischer Anwendung des neuen datenschutzrechtlichen Regelungsregimes für zahlreiche, mitunter zentrale Fragen des Datenschutzrechts keine gesicherten Aussagen der Datenschutzbehörden und der zuständigen (Höchst-)Gerichte zur Auslegung ihrer Bestimmungen. Auch wenn sich das neue Datenschutzrecht in der rechtswissenschaftlichen Literatur mittlerweile zu einem intensiv beforschten und kommentierten Rechtsgebiet entwickelt hat, ist bei vielen Normen noch unklar, wie diese von den Gerichten ausgelegt und in der Praxis gelebt werden. Es muss also bei der Interpretation nach wie vor vielfach vom Wortlaut der Verordnung ausgegangen werden. Ältere Judikatur kann vereinzelt herangezogen werden.

Aussagekräftige Interpretationshilfen bieten die Stellungnahmen der sogenannten Artikel-29-Datenschutzgruppe (nunmehr: „Europäischer Datenschutzausschuss“), eines unabhängigen Beratungsgremiums der Europäischen Kommission in Fragen des Datenschutzes, sowie die Leitlinien und Empfehlungen des mit der DSGVO eingerichteten Europäischen Datenschutzausschusses (EDSA). Auch wenn diese Dokumente keinerlei Rechtsverbindlichkeit haben, orientieren sich Behörden und Gerichte in der Praxis oftmals daran, weshalb sie einen guten Leitfaden für den Umgang mit den Regeln der DSGVO bieten können. Auch im Folgenden wird die Rechtsmeinung der Art-29-Datenschutzgruppe demnach als Interpretationshilfe herangezogen.