LibCat » Книги » Приключения » unrecognised » DSGVO - BDSG - TTDSG

DSGVO - BDSG - TTDSG

Здесь есть возможность читать онлайн «DSGVO - BDSG - TTDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DSGVO - BDSG - TTDSG
Автор:
Неизвестный Автор
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

DSGVO - BDSG - TTDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DSGVO - BDSG - TTDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Mit der EU-Datenschutzgrundverordnung (DSGVO) wurde ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter, die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sowie die Anforderungen an den internationalen Datentransfer sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.
Die DSGVO enthält zahlreiche Öffnungsklauseln, die der Gesetzgeber mit dem Bundesdatenschutzgesetz (BDSG) schließen musste und dazu nutzte, bereichsspezifische Regelungen einzuführen, etwa zum Scoring, zur Videoüberwachung und zum Beschäftigtendatenschutz.
Das Werk kommentiert leicht verständlich, aktuell und praxisnah die DSGVO sowie das BDSG und – neu – auch das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). Verantwortliche erhalten damit eine umfassende Darstellung mit Handlungsempfehlungen zum gesamten neuen Datenschutzrecht. Betriebliche Datenschutzbeauftragte können sich an den fundierten Kommentierungen orientieren, in denen Literatur und Rechtsprechung aktuell berücksichtigt wurden.

DSGVO - BDSG - TTDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DSGVO - BDSG - TTDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Die Erfüllung der Rechenschaftspflicht unterliegt keinen formellen Anforderungen, jedoch ist eine schriftliche bzw. textliche Dokumentation empfehlenswert (zu praktischen Umsetzungsmaßnahmen siehe Rn. 47f.).111

Bedient sich der Verantwortliche eines Auftragsverarbeiters, bleibt er in vollem Umfang für die Datenverarbeitung verantwortlich.112 Damit der Verantwortliche seiner Nachweispflicht auch im Falle einer Auftragsverarbeitungeffektiv nachkommen kann, sollte er dem Auftragnehmer vertragliche Dokumentationspflichten auferlegen.113

2. Maßnahmen zur Umsetzung

Die Einführung eines umfassenden Datenschutzmanagementsystems, dessen Erforderlichkeit unter dem Vorbehalt der Verhältnismäßigkeit in Art. 24 Abs. 2 DSGVO angedeutet wird,114 kann maßgebend zur Erfüllung der Rechenschaftspflicht beitragen, da es die Überwachung und Dokumentation sämtlicher Verarbeitungsprozesse ermöglicht.115 Auch die Expertise eines Datenschutzbeauftragtensowie Datenschutz-Folgenabschätzungennach Art. 35 Abs. 7 DSGVO (siehe Art. 35 Rn. 33ff.) können zur bestmöglichen Erbringung erforderlicher Nachweise beitragen.116 Vorrangig haben jedoch Verzeichnisse über Verarbeitungstätigkeitennach Art. 30 DSGVO (vgl. bereits Rn. 42) das Potenzial, als mögliche Form des Nachweisesbesonders hilfreich zu sein.117 Das Verarbeitungsverzeichnis mit seinem vorgeschriebenen (Mindest-)Umfang nach Art. 30 Abs. 1 Satz 2 DSGVO könnte als Nukleusfür darüber hinausgehende Dokumentationen dienen und ohne erheblichen Aufwand mit sämtlichen gem. Art. 5 Abs. 2 DSGVO erforderlichen Nachweisen (siehe oben Rn. 42, 43) angereichert bzw. verknüpft werden. Denkbar erscheint sogar, das Verzeichnis (welches vorzugsweise elektronisch geführt und ggf. durch spezielle Datenschutzsoftware unterstützt wird) derart zu erweitern, dass aus ihm die Konformität jedes Verarbeitungsschrittes mit sämtlichen Vorgaben der DSGVO hervorgeht.

Der Grundsatz der Rechenschaftspflicht wird in erster Linie durch Art. 24 DSGVO konkretisiert:118 Gemäß Abs. 1 der Vorschrift ist der Verantwortliche zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen sowie erforderlichenfalls zu deren Überprüfung und Aktualisierung verpflichtet, um den Nachweis dafür erbringen zu können, dass die Verarbeitung DSGVO-konform erfolgt. Damit der Verantwortliche dazu imstande ist, auf ein aufsichtsbehördliches Nachweisbegehren pflichtgemäß zu reagieren, muss er folglich bereits im Vorfeldder Datenverarbeitung interne Compliance-Maßnahmenergreifen.119 Zu beachten ist, dass sich Art. 24 Abs. 1 Satz 1 DSGVO nicht wie Art. 5 Abs. 2 DSGVO nur auf die Verarbeitungsgrundsätze bezieht, sondern der Nachweis der Einhaltung sämtlicher DSGVO-Vorgaben sichergestellt werden muss. Die mittels eines Datenschutzmanagementsystems (vgl. Rn. 47) zu dokumentierenden Vorgänge umfassen daher unter anderem auch die folgenden, über den Regelungsgehalt des Art. 5 Abs. 1 DSGVO (siehe oben Rn. 42, 43) hinausgehenden Aspekte:120

– die Verantwortlichkeitsstruktur innerhalb eines personenbezogene Daten verarbeitenden Unternehmens (Benennung, Geeignetheit und Zuverlässigkeit sowie ordnungsgemäße Einbindung und Ausstattung eines Datenschutzbeauftragten; zentrale oder dezentrale Verantwortlichkeitsstruktur);

– die Implementierung von Datenschutzrichtlinien und Prozessen zur Datenschutzorganisation;

– die Erstellung von Konzepten für sowie die Durchführung von Mitarbeiterschulungen;

– etwaige Behördenkommunikation;

– den Umgang mit vorgefallenen Datenschutzverletzungen (insbesondere die fristgerechte Benachrichtigung der Behörde sowie getroffene Maßnahmen zur Abwehr und Schadensminimierung);121

– durchgeführte Datenschutz-Folgenabschätzungen;122

– die regelmäßige Anpassung und Überprüfung der getroffenen Maßnahmen an neue Vorgaben der Gerichte oder der Aufsichtsbehörden;123

– der Umgang mit Datenpannen, insbesondere die Meldung oder der Grund für die fehlende Meldung an die zuständige Aufsichtsbehörde.

1Voigt/von dem Bussche, DSGVO, S. 113 m.w.N; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 1. 2§ 3a BDSG a.F. enthielt die Grundsätze der Datenverarbeitung und Datensparsamkeit; § 4 Abs. 1 BDSG a.F. stellte jede Verarbeitung personenbezogener Daten unter den Vorbehalt der Rechtmäßigkeit. 3Pötters, in: Gola, DS-GVO, Art. 5 Rn. 4. 4Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281/, S. 31–50; im Folgenden: „Datenschutzrichtlinie“ (DSRl). 5Vgl. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 4; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 6. 6Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 6; a.A. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 4, der den Grundsatz der Integrität und Vertraulichkeit als bereits in Art. 17 Abs. 1 DSRl angelegt ansieht. 7Eine umfassende Darstellung der inhaltlichen Differenzen findet sich bei Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 6 sowie bei Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 7f. 8Vgl. Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 6; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 15. 9Voigt/von dem Bussche, DSGVO, S. 113 m.w.N.; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 26. 10Vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 21, 26. 11Das BVerwG hat gleichwohl festgestellt, dass § 4 Abs. 1 Satz 1 BDSG (Videoüberwachung durch private Stellen) nicht den Öffnungsklauseln unterfällt und daher unangewendet bleiben muss, BVerwG, Urt. v. 27.3.2019 – 6 C 2/18, Rn. 47. 12Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 82; Gola, in: Gola, DS-GVO, Art. 23 Rn. 15f. 13Vgl. Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1118; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 83 Rn. 24; auch Veil, ZD 2018, 9, 13, sieht dieses Problem. 14Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 15LG Berlin, Beschl. v. 18.2.2021 – (526 OWi LG) 212 Js-OWi 1/20, ITRB 2021, 81 m. Anm. Dovas, nicht rechtskräftig. 16Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 9; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8. 17Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 9. 18Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 10; ähnlich Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 16. 19So im Ergebnis auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 11; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 6; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 5; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 2. 20Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8. 21So auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 8, sowie Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 14. 22EuGH, Urt. v. 16.7.2020 – Rs. C-311/18, CR 2020, 529 – Schrems II. Zu gegebenenfalls neben den Standardvertragsklauseln zu ergreifenden zusätzlichen Schutzmaßnahmen siehe EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_de, sowie Jungkind/Raspé/Schramm, NZG 2020, 1056, 1057ff.; Voigt, CR 2020, 513, 515f. 23Voigt/von dem Bussche, DSGVO, S. 129; a.A. Art.-29-Datenschutzgruppe, Guidelines on Consent under Regulation 2016/679, Working Paper 259, 22, 23. 24Voigt/von dem Bussche, DSGVO, S. 129; Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 5, 6. 25Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 7. 26Voigt/von dem Bussche, DSGVO, S. 129; Wächter, Datenschutz im Unternehmen, Rn. 553. 27Ähnlich kritisch auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 46f. 28Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 2 Rn. 4; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 9; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 13 m.w.N.; Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 14. 29„Personal data shall be: processed lawfully, fairly and in a transparent manner in relation to the data subject.“ 30Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 2 Rn. 4; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 9; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 14; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 18; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 7; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 14; Schmitz, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, S. 64 Rn. 14. 31Ähnlich auch Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 14. 32Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 9. 33Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 10 m.w.N. 34Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 14 m.w.N. 35Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 8; Pötters, in: Gola, DS-GVO, Art. 6 Rn. 12. 36Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 8; Pötters, in: Gola, DS-GVO, Art. 6 Rn. 12. 37Vgl. ErwG 47 Satz 1 sowie 50 Satz 6 DSGVO. 38Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 10 m.w.N. 39Vgl. ErwG 47 Satz 3 DSGVO. 40Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 11; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 21. 41Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 21 m.w.N.; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 65 Rn. 15. 42Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 11; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 21; Böhm/Ströbel, in: Wybitul, DSGVO, Art. 5 Rn. 9. 43Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 11; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 65 Rn. 15. 44ErwG 39 Sätze 4–6 DSGVO. 45Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 2 Rn. 5 m.w.N.; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 10; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 10; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 19; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 22; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 17; Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 5 Rn. 27ff.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 4; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 52, 53. 46Siehe z.B. Çalışkan, ZD-Aktuell 2018, 04327. 47Vgl. zu dieser Frage Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 12 Rn. 45, Art. 15 Rn. 5a m.w.N. 48ULD, Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten, Stand: 25.5.2018, S. 4, https://uldsh.de/dsgvo-aerzte. 49Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 13; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 13; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 72. 50Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 14; Wybitul, in: Wybitul, DSGVO, Einl. Rn. 70; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 72, 74; de Terwangne, in: Kuner/Bygrave/Docksey, GDPR, Art. 5, S. 315. 51Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 14 m.w.N.; ähnlich Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 66 Rn. 22. 52So Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 20. 53So Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 32; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 27; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 14; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 75. 54Dass dies grundsätzlich möglich ist, ergibt sich aus ErwG 32 Satz 5 DSGVO. 55„Personal data shall be collected for specified, explicit and legitimate purposes (...).“ 56Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 2 Rn. 8; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 14; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 65, 76; vgl. auch Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 26. 57Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 14 m.w.N. 58Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 27. 59Voigt/von dem Bussche, DSGVO, S. 115 m.w.N.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 5; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 71. 60Voigt/von dem Bussche, DSGVO, S. 116 m.w.N. 61Voigt/von dem Bussche, DSGVO, S. 115; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 15 m.w.N.; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 17 m.w.N; de Terwangne, in: Kuner/Bygrave/Docksey, GDPR, Art. 5, S. 315. 62Voigt/von dem Bussche, DSGVO, S. 115 m.w.N.; Böhm/Ströbel, in: Wybitul, DSGVO, Art. 5 Rn. 13; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 91. 63Pötters/Rauer, in: Wybitul, DSGVO, Art. 6 Rn. 51f.; vgl. auch Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 21; de Terwangne, in: Kuner/Bygrave/Docksey, GDPR, Art. 5, S. 316. 64Vgl. den Wortlaut der Vorschrift: „unter anderem“. 65Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 22 m.w.N.; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 49; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 103. 66Voigt/von dem Bussche, DSGVO, S. 117 m.w.N.; vgl. Taeger, Datenschutzrecht, Teil III, Rn. 120. 67Voigt/von dem Bussche, DSGVO, S. 117; Böhm/Ströbel, in: Wybitul, DSGVO, Art. 5 Rn. 19. 68Kritisch Wächter, Datenschutz im Unternehmen, Rn. 474. 69Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 23 m.w.N.; Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 4. 70Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 25 Rn. 12. 71Vgl. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019 über die Verhängung eines Bußgeldes in Höhe von 14,5 Mio. EUR gegen die Deutsche Wohnen SE, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 72Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 60; ähnlich Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 39. 73Pötters, in: Gola, DS-GVO, Art. 5 Rn. 24; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 143. 74Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 43; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 141. 75Vgl. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 61. 76Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 61; siehe auch Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 29. 77Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 24; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 63; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 42. 78So aber z.B. in § 27 Abs. 2 Satz 1 BDSG, § 12 MStV. 79ErwG 39 Satz 8 DSGVO. 80ErwG 39 Satz 10 DSGVO. 81Voigt/von dem Bussche, DSGVO, S. 119 m.w.N. 82So auch Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, D. IV.; Keppeler/Berning, ZD 2017, 314. 83Keppeler/Berning, ZD 2017, 314, 317, sprechen im Hinblick auf die erstmalige Erstellung eines Löschkonzepts von einer „regelrechten Herkulesaufgabe“. 84Eine Darstellung der praxisrelevantesten technischen und rechtlichen Probleme im Zusammenhang mit den Löschpflichten nach der DSGVO findet sich bei Keppeler/Berning, ZD 2017, 314. 85Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, D. IV. 12; daneben existiert eine gleichnamige Leitlinie, bei der es sich um einen Vorgänger der DIN-Norm handelt und die im Gegensatz zu dieser als kostenfrei verfügbares Dokument abgerufen werden kann: Hammer/Schuler, Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, Version 1.0.3., Stand: 26.10.2015, https://www.secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf. Auch eine Guideline der European Union Agency for Network and Information Security liefert Praxishinweise für die Datenlöschung: ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personaldata-processing, S. 45, 46 (4.2.8). 86Zu den wichtigsten gesetzlichen Aufbewahrungspflichten siehe Voigt/Mühlbauer, Deutschland: Übersicht über wichtige Speicherungs- bzw. Aufbewahrungsfristen für Unterlagen mit personenbezogenen Daten, https://www.teletrust.de/fileadmin/docs/fachgruppen/AG_Recht/Aufbewahrungsfristen.pdf. 87Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 68; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26. 88Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 33 m.w.N. 89Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27. 90Strittig, so aber Voigt/von dem Bussche, DSGVO, S. 211f. sowie mit Vorbehalten Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 17 Rn. 8ff. 91Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27; vgl. auch Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019 über die Verhängung eines Bußgeldes in Höhe von 14,5 Mio. EUR gegen die Deutsche Wohnen SE, https://www.datenschutzberlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 92Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 35 m.w.N.; praktische Hinweise für die Einrichtung einer Zugriffskontrolle zur Wahrung der Vertraulichkeit liefert die ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing, S. 35 (4.1.1.3). 93Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 49; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 28; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 76; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 29. 94Die Pflicht wird von den Behörden teilweise sehr weit ausgelegt: Gegen die AOK Baden-Württemberg wurde ein Bußgeld in Höhe von 1,24 Mio. EUR verhängt wegen der Nutzung von E-Mail-Adressen zu Werbezwecken ohne Einwilligung. Die AOK veranstaltete ein Gewinnspiel, wobei sie die dadurch erlangten Daten auch für Werbezwecke einsetzen wollte, wenn die Teilnehmer dem zugestimmt hatten. Aufgrund unzureichender Vorkehrungen wurden jedoch auch die Daten von ca. 500 Teilnehmern für Werbezwecke verwendet, die dem nicht zugestimmt hatten. Dies wurde nicht etwa als Verstoß gegen die Vorgaben aus Art. 6 DSGVO gewertet, sondern als Verstoß gegen die Vorgaben aus Art. 32 DSGVO, siehe Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Pressemitteilung vom 30.6.2020, https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/. 95Hierzu ausführlich Voigt, IT-Sicherheitsrecht, Rn. 312ff., sowie die sehr hilfreichen Stellungnahmen der ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personaldata-processing, und Handbook on Security of Personal Data Processing, Januar 2018, https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing. 96In der englischen Sprachfassung: „Accountability“. 97Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 53. 98Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 29; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 18; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 74 Rn. 46. 99Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 180. 100Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 181. 101Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 9; Haag, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil 2 Kapitel 2 Rn. 4; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 75 Rn. 47 m.w.N; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 186. 102Veil, ZD 2018, 9, 11f. 103Veil, ZD 2018, 9, 12 m.w.N., geht davon aus, dass die Nachweispflicht „keine Beweislastregel, sondern eine materielle Nachweispflicht“ sei. 104Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 12 m.w.N. 105Eine ausführliche tabellarische Übersicht über die von der Nachweispflicht umfassten Vorgaben findet sich in: Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 10, sowie bei Lachenmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, A. I. 106Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 55 m.w.N. 107Veil, ZD 2018, 9, 13–16; vgl. auch Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 5 Rn. 43ff. 108Becker, in: Plath, BDSG DSGVO, Art. 83 Rn. 3; Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 83 Rn. 113 m.w.N. 109Vgl. auch Keppeler/Berning, ZD 2017, 314, 319. 110Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 66 m.w.N. 111Voigt/von dem Bussche, DSGVO, S. 41; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 80; vgl. auch Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 62. 112Dies ergibt ein Umkehrschluss aus Art. 28 Abs. 10 DSGVO. 113Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 7. 114Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 78. 115Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 74 Rn. 46; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 186. 116Voigt/von dem Bussche, DSGVO, S. 41. 117Voigt/von dem Bussche, DSGVO, S. 41; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 80. 118Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 78; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 73 Rn. 43. 119Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; vgl. ErwG 78 Satz 2 DSGVO; eine Reihe praktikabler Ansätze für die Erfüllung der Rechenschaftspflicht liefert auch Jung, ZD 2018, 208. 120Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 10. 121Hierzu Voigt, IT-Sicherheitsrecht, Rn. 332ff. 122Hierzu im Detail Koglin, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 5. 123Vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 181.