– eigentlich „fertige“ – Werk zu berichtigen und jedem Käufer die berichtigte Version zur Verfügung zu stellen. Zwar kann das Recht aus Art. 16 DSGVO gem. Art. 85 Abs. 1 sowie 89 Abs. 2 DSGVO zum Schutz des Rechts auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken bzw. zu wissenschaftlichen oder historischen Forschungszwecken durch mitgliedstaatliche Regelungen beschränkt werden; von dieser Öffnungsklausel ist im deutschen Recht jedoch nur bedingt Gebrauch gemacht worden.78
5. Speicherbegrenzung (lit. e)
33
Ferner müssen personenbezogene Daten in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, Art. 5 Abs. 1 lit. e DSGVO. Zur Verwirklichung dieses Grundsatzes der Speicherbegrenzung muss der Verantwortliche die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränken79 sowie Fristen für Löschungen oder regelmäßige Überprüfungen vorsehen.80 Vor allem der Umgang mit Schattendatenbanken wird regelmäßig zu erheblichen Problemen führen (siehe hierzu bereits oben Rn. 28). Denn etwaige Löschpflichten beziehen sich nicht nur auf das Hauptsystem, sondern auf sämtliche Kopien des zu löschenden Datensatzes. Die Einbindung von Schattendatenbanken in ein einheitliches Löschkonzept dürfte daher praktisch kaum umsetzbar sein.
34
Zur effektiven Umsetzung der Speicherbegrenzung in Unternehmensstrukturen bietet sich das Aufstellen von sog. Data Retention Policies bzw. Löschkonzepten an.81 Die Notwendigkeit der Erstellung und Umsetzung strukturierter Löschkonzepte wurde in der Unternehmenspraxis jedoch bisher nahezu vollständig ignoriert.82 Daher wird die Einhaltung des Grundsatzes der Speicherbegrenzung für Verantwortliche sowohl in rechtlicher als auch technischer Hinsicht eine schwer zu bewältigende Aufgabe darstellen.83
35
Zur Bewältigung derartiger Probleme84 müssen technische und organisatorische Lösungen gefunden werden, die es ermöglichen, einem Datensatz konkrete Löschmodalitäten unter Berücksichtigung etwaiger Löschpflichten und -bedürfnisse zuzuordnen. Im Zuge dessen bietet etwa die DIN 66398 („Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“) eine praktische Hilfestellung für die Erstellung eines individuellen Löschkonzepts.85
36
Im Regelfall dürfte sich ein mehrstufiges Verfahren unter Einbeziehung aller Fachbereiche eines Unternehmens anbieten:
– Identifizierung der für das Unternehmen geltenden gesetzlichen Aufbewahrungspflichten,86
– Identifizierung der für das Unternehmen relevanten und sich aus dem Geschäft des Unternehmens ergebenden „Aufbewahrungsbedürfnisse“,
– Identifizierung der im Unternehmen verarbeiteten Datenarten,
– Zuweisung von konkreten Aufbewahrungs- und Löschfristen zu den konkreten Datenarten,
– Identifizierung von Ausnahmen von den Löschfristen (beispielsweise kürzere Aufbewahrung im Falle des Widerrufs von Einwilligungen oder Ausübung von Löschrechten bzw. längere Aufbewahrung, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Löschansprüchen erforderlich sind),
– organisatorische und technische Sicherstellung der (vollständigen) Löschung,
– Dokumentation der Löschprozesse/ggf. konkreter Löschungen.
37
Der Grundsatz der Speicherbegrenzung wird durch das Recht der betroffenen Person, unter bestimmten Voraussetzungen die Löschung ihrer personenbezogenen Daten zu verlangen, konkretisiert, Art. 17 Abs. 1 DSGVO.87 Der Verantwortliche ist jedoch auch ohne ein solches Begehren des Betroffenen zur unverzüglichen Löschung der – beispielsweise aufgrund einer Zweckerreichung88 – obsolet gewordenen Daten verpflichtet.89 Dies ergibt sich entweder direkt aus der Formulierung des Art. 17 Abs. 1 DSGVO („der Verantwortliche ist verpflichtet“, siehe Art. 17 Rn. 22),90 jedenfalls aber aus dem Speicherbegrenzungsgrundsatz des Art. 5 Abs. 1 lit. e DSGVO.91 Ähnlich wie beim Zweckbindungsgrundsatz (vgl. oben Rn. 26) gelten auch im Rahmen des Grundsatzes der Speicherbegrenzung Ausnahmen im Hinblick auf im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke sowie statistische Zwecke, Art. 5 Abs. 1 lit. e Hs. 2 DSGVO.
6. Integrität und Vertraulichkeit (lit. f)
38
Schließlich müssen personenbezogene Daten gemäß dem Grundsatz der Integrität und Vertraulichkeit in einer Weise verarbeitet werden, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, Art. 5 Abs. 1 lit. f DSGVO. Der Begriff der Integrität bezieht sich auf die Unversehrtheit der Daten und zielt auf die Verhinderung ihrer unbeabsichtigten Unbrauchbarmachung ab, wohingegen der Grundsatz der Vertraulichkeit den Schutz vor unbefugter Kenntnisnahme und Verarbeitung umfasst.92
39
Der Grundsatz der Integrität und Vertraulichkeit wird etwa durch die Regelungen in Art. 32 Abs. 1 Hs. 2 lit. b DSGVO sowie Art. 28 Abs. 3 Satz 2 lit. b DSGVO substanziiert;93
– Gem. Art. 32 Abs. 1 Hs. 2 lit. b DSGVO ist der Verantwortliche zur Ergreifung technischer und organisatorischer Maßnahmen verpflichtet,94 die insbesondere solche Maßnahmen mit einschließen, welche die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.95
– Nach Maßgabe des Art. 28 Abs. 3 Satz 2 lit. b DSGVO muss ein Auftragsverarbeitungsvertrag die Pflicht des Auftragsverarbeiters zur Gewährleistung, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, enthalten (siehe Art. 28 Rn. 46).
III. Rechenschaftspflicht (Abs. 2)
40
Der Regelungsgehalt des Art. 5 Abs. 2 DSGVO erschöpft sich nicht allein darin, den Verantwortlichen zur Einhaltung der vorgenannten Verarbeitungsgrundsätze zu verpflichten, sondern ihm wird vielmehr auch die Pflicht auferlegt, die Einhaltung der Grundsätze erforderlichenfalls nachweisen zu können. Diese Rechenschaftspflicht96 und die mit ihr einhergehende Notwendigkeit umfangreicher Dokumentationsmechanismen gehen über die bloße Sicherstellungspflicht, die nach Art. 6 Abs. 2 DSRl vorgesehen war, hinaus.97 Gegenüber der alten Rechtslage hat nunmehr die Eigenverantwortung sowie insbesondere die Dokumentationspflicht des Verantwortlichen an Bedeutung gewonnen.98
1. Inhalt und Umfang
41
Im Rahmen ihrer Rechenschaftspflicht müssen Verantwortliche – nicht aber andere Adressaten der DSGVO, insbesondere Auftragsverarbeiter99 – im Falle einer entsprechenden Anweisung der Aufsichtsbehörde nach Art. 58 Abs. 1 lit. a DSGVO (siehe Art. 58 Rn. 11) dazu imstande sein, die Einhaltung der Grundsätze des Art. 5 Abs. 1 lit. a bis f nachzuweisen.100 Dies könnte dazu führen, dass dem Verantwortlichen gegenüber der Aufsichtsbehörde die Beweislast für die Rechtmäßigkeit