href="#ulink_42b7b4de-1c34-5f60-ae2c-bdb6521b0fc8">66 Voigt/von dem Bussche, DSGVO, S. 117 m.w.N.; vgl. Taeger, Datenschutzrecht, Teil III, Rn. 120. 67 Voigt/von dem Bussche, DSGVO, S. 117; Böhm/Ströbel, in: Wybitul, DSGVO, Art. 5 Rn. 19. 68 Kritisch Wächter, Datenschutz im Unternehmen, Rn. 474. 69 Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 23 m.w.N.; Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 4. 70 Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 25 Rn. 12. 71 Vgl. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019 über die Verhängung eines Bußgeldes in Höhe von 14,5 Mio. EUR gegen die Deutsche Wohnen SE, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 72 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 60; ähnlich Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 39. 73 Pötters, in: Gola, DS-GVO, Art. 5 Rn. 24; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 143. 74 Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 43; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 141. 75 Vgl. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 61. 76 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 61; siehe auch Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 29. 77 Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 24; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 63; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 42. 78 So aber z.B. in § 27 Abs. 2 Satz 1 BDSG, § 12 MStV. 79 ErwG 39 Satz 8 DSGVO. 80 ErwG 39 Satz 10 DSGVO. 81 Voigt/von dem Bussche, DSGVO, S. 119 m.w.N. 82 So auch Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, D. IV.; Keppeler/Berning, ZD 2017, 314. 83 Keppeler/Berning, ZD 2017, 314, 317, sprechen im Hinblick auf die erstmalige Erstellung eines Löschkonzepts von einer „regelrechten Herkulesaufgabe“. 84 Eine Darstellung der praxisrelevantesten technischen und rechtlichen Probleme im Zusammenhang mit den Löschpflichten nach der DSGVO findet sich bei Keppeler/Berning, ZD 2017, 314. 85 Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, D. IV. 12; daneben existiert eine gleichnamige Leitlinie, bei der es sich um einen Vorgänger der DIN-Norm handelt und die im Gegensatz zu dieser als kostenfrei verfügbares Dokument abgerufen werden kann: Hammer/Schuler, Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, Version 1.0.3., Stand: 26.10.2015, https://www.secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf. Auch eine Guideline der European Union Agency for Network and Information Security liefert Praxishinweise für die Datenlöschung: ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personaldata-processing, S. 45, 46 (4.2.8). 86 Zu den wichtigsten gesetzlichen Aufbewahrungspflichten siehe Voigt/Mühlbauer, Deutschland: Übersicht über wichtige Speicherungs- bzw. Aufbewahrungsfristen für Unterlagen mit personenbezogenen Daten, https://www.teletrust.de/fileadmin/docs/fachgruppen/AG_Recht/Aufbewahrungsfristen.pdf. 87 Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 68; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26. 88 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 33 m.w.N. 89 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27. 90 Strittig, so aber Voigt/von dem Bussche, DSGVO, S. 211f. sowie mit Vorbehalten Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 17 Rn. 8ff. 91 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27; vgl. auch Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019 über die Verhängung eines Bußgeldes in Höhe von 14,5 Mio. EUR gegen die Deutsche Wohnen SE, https://www.datenschutzberlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 92 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 35 m.w.N.; praktische Hinweise für die Einrichtung einer Zugriffskontrolle zur Wahrung der Vertraulichkeit liefert die ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing, S. 35 (4.1.1.3). 93 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 49; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 28; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 76; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 29. 94 Die Pflicht wird von den Behörden teilweise sehr weit ausgelegt: Gegen die AOK Baden-Württemberg wurde ein Bußgeld in Höhe von 1,24 Mio. EUR verhängt wegen der Nutzung von E-Mail-Adressen zu Werbezwecken ohne Einwilligung. Die AOK veranstaltete ein Gewinnspiel, wobei sie die dadurch erlangten Daten auch für Werbezwecke einsetzen wollte, wenn die Teilnehmer dem zugestimmt hatten. Aufgrund unzureichender Vorkehrungen wurden jedoch auch die Daten von ca. 500 Teilnehmern für Werbezwecke verwendet, die dem nicht zugestimmt hatten. Dies wurde nicht etwa als Verstoß gegen die Vorgaben aus Art. 6 DSGVO gewertet, sondern als Verstoß gegen die Vorgaben aus Art. 32 DSGVO, siehe Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Pressemitteilung vom 30.6.2020, https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/. 95 Hierzu ausführlich Voigt, IT-Sicherheitsrecht, Rn. 312ff., sowie die sehr hilfreichen Stellungnahmen der ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personaldata-processing, und Handbook on Security of Personal Data Processing, Januar 2018, https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing. 96 In der englischen Sprachfassung: „Accountability“. 97 Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 53. 98 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 29; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 18; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 74 Rn. 46. 99 Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 180. 100 Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn.
