Moje książki
MojeКoszykListy
Wszystkie 345 kategorii

Praxishandbuch DSGVO

Tekst
Książka w języku niemieckim
Autorzy:, , , , , , , , , , , , , ,
Z serii: Kommunikation & Recht
0
Recenzje
Przeczytaj fragment
Oznacz jako przeczytane
Jak czytać książkę po zakupie
Smartfon,
tabletKomputer,
laptopE-czytnik
Czcionka:Mniejsze АаWiększe Aa

II. Die Grundsätze im Einzelnen
1. Rechtmäßigkeit und Verarbeitung nach Treu und Glauben

4

Die Prinzipien der Rechtmäßigkeit gemäß Art. 5 Abs. 1 lit. a Var. 1 DSGVO und der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a Var. 2 DSGVO prägen die Struktur der DSGVO in besonderem Maße. Wegen des Grundsatzes der Rechtmäßigkeit bedarf jede Datenverarbeitung einer Rechtsgrundlage i.S.d. Art. 6 Abs. 1 S. 1 DSGVO.3 Dieser Rechtsgedanke wird „Verbot mit Erlaubnisvorbehalt“ genannt – grundsätzlich ist deshalb jede Verarbeitung verboten, soweit nach Art. 6 Abs. 1 DSGVO (oder einer anderen Rechtsvorschrift) keine Erlaubnis existiert.

5

Zu den häufigsten Rechtfertigungsgründen gehören die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Erfüllung des Vertragszwecks nach Art. 6 Abs. 1 lit. b DSGVO sowie die Verarbeitung aus Gründen berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.4 In Sonderkonstellationen müssen dabei zusätzliche Rechtmäßigkeitsanforderungen eingehalten werden, etwa die Voraussetzungen an die Rechtmäßigkeit einer (wirksamen) Einwilligung (Art. 4 Nr. 11, Art. 7 DSGVO), die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) und/oder die Übermittlung in Drittländer (Art. 44ff. DSGVO).5

6

Eine genauere Definition des Bedeutungsgehalts der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a Var. 2 DSGVO existiert nicht.6 Allerdings lassen sich aus dem inhärenten Fairnessgebot verschiedene für die Praxis relevante Fallgruppen potenzieller Verstöße bilden, die eine Annäherung ermöglichen: Grundsätzlich ist eine „faire“ Datenverarbeitung gegeben, wenn durch den Verantwortlichen oder Auftragsverarbeiter keine unzulässige Rechtsausübung zu einem beachtlichen Nachteil des Betroffenen stattfindet.7

Beispiel

Verstöße gegen das Fairnessgebot liegen beispielsweise vor, soweit

 – der Umfang der Verarbeitung personenbezogener Daten die durch den Verantwortlichen geweckten Erwartungen des Betroffenen massiv übersteigt – etwa bei heimlichen Verarbeitungen;8

 – Wertungen der Europäischen Grundrechtecharta unterminiert werden;

 – die vernünftigen Erwartungen der betroffenen Personen i.S.v. Art. 6 Abs. 1 lit. f DSGVO unberücksichtigt bleiben;

 – das (allgemeine) Kopplungsverbot nach Art. 7 Abs. 4 DSGVO missachtet wird9 und/oder

 – die Abhängigkeit im Beschäftigungsverhältnis unberücksichtigt bleibt.10

Denkbare Anwendungsfälle können sich aus dem Einsatz bzw. der Verknüpfung verschiedener (innovativer) Technologien oder auch aus unvorhersehbaren Zweckänderungen ergeben. Ein aktuelles Beispiel kann etwa die überraschende Nutzung sog. Corona-Listen für polizeiliche Ermittlungszwecke, entgegen dem Wortlaut von Sperrklauseln in einigen Bundesländern sein.11

Insgesamt stellt der Grundsatz von Treu und Glauben eher einen Auffangtatbestand dar, der Konstellationen erfasst, in denen der Betroffene durch eine Verarbeitung seiner personenbezogenen Daten einen erheblichen Nachteil erfährt, der in einem massiven Widerspruch zum Kräftegleichgewicht des Verantwortlichen steht – (auch) unabhängig von einem Verstoß gegen ein gesetzliches Verbot.12 Dementsprechend wird die Prüfung dieses Grundsatzes in der Praxis eher einen Ausnahmefall bilden.

2. Transparenz

7

Das Transparenzgebot ist in Art. 5 Abs. 1 lit. a Var. 3 DSGVO statuiert.13 Es legt fest, dass personenbezogene Daten in einer für den Betroffenen nachvollziehbaren Art und Weise verarbeitet werden müssen.14

8

Der Betroffene muss die Möglichkeit haben, sich auf Grundlage der zur Verfügung gestellten Informationen eigenständig für oder gegen die Verarbeitung und den jeweiligen Inhalt entscheiden zu können.15 Eine Konkretisierung erfährt der Grundsatz insbesondere durch Erwägungsgrund 39 zur DSGVO, der bestimmt, dass Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in folgender Weise zur Verfügung gestellt werden müssen:

 – leicht zugänglich,

 – verständlich,

 – in klarer und einfacher Sprache.16

9

Als Ausfluss des Transparenzgebots normieren vor allem die Informations- und Auskunftspflichten in den Art. 12–22 DSGVO, insbesondere Art. 13, 14 und 15 DSGVO konkretere Pflichten für den Verantwortlichen.17

3. Zweckbindung

10

Der Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b DSGVO ist ebenfalls von besonders hervorgehobener Bedeutung:18 Danach dürfen personenbezogene Daten ausschließlich für die bei der Erhebung festgelegten, eindeutigen und legitimen Zwecke verarbeitet werden. Im Kern bedeutet dies, dass eine Datenerhebung quasi „auf Vorrat“ unzulässig ist, weil hier ein Zweck bei der Erhebung noch nicht feststeht sondern erst nachträglich bestimmt werden soll.

11

Der Verantwortliche muss die Zwecke ausdrücklich festlegen, was einem Akt der Selbstbindung gleichkommt.19 Dies muss bereits vor dem Verarbeitungsvorgang geschehen und erfordert deshalb einige Vorüberlegungen.20 Unbestimmte oder unzulässige Zwecke genügen mithin den Anforderungen an eine Festlegung nicht.21

12

Aus der Eindeutigkeit folgt die Notwendigkeit der Konkretisierung der jeweiligen Zwecke, indem sie ausdrücklich bezeichnet und inhaltlich hinreichend bestimmt werden.22 Zwar ist keine bestimmte Form festgelegt, es empfiehlt sich aber eine schriftliche Dokumentation, die eine Nachweisfunktion erfüllen kann.23 Der Begriff „eindeutig“ bedeutet jedoch nicht, dass jeweils nur ein einziger Verarbeitungszweck festgelegt werden darf.24 Es ist deshalb zulässig, von vornherein auch eine Mehrzahl von Zwecken festzulegen, soweit diese sämtlich hinreichend bestimmt sind.25

13

Der Verarbeitungszweck ist legitim, soweit für ihn eine geeignete Rechtsgrundlage existiert und er nicht im Widerspruch zu einer geltenden Rechtsnorm steht.26

14

Schließlich gilt für Verarbeitungen, die nicht 1:1 den ursprünglichen Erhebungszwecken entsprechen, dass sie nicht von vornherein unzulässig sind – sie müssen aber zumindest mit ihnen kompatibel sein.27 Die Kompatibilität der Zwecke ist u.a. an den Kriterien aus Art. 6 Abs. 4 DSGVO zu messen,28 die Aufschluss darüber geben, ob die (Weiter-)Verarbeitung zu einem anderen Zweck mit dem ursprünglichen Erhebungszweck vereinbar ist.29 Soweit der Kompatibilitätstest negativ ausfällt, ist eine Weiterverarbeitung ohne Einwilligung ausgeschlossen.30

15

Grundsätzlich möglich ist es aber, dass der Verantwortliche von der ursprünglichen Zwecksetzung abweicht, allerdings nur, wenn der neue Weiterverarbeitungszweck mit dem anfänglich festgelegten Zweck gemäß Art. 6 Abs. 4 DSGVO kompatibel ist, eine Rechtsvorschrift die Zweckänderung ausdrücklich zulässt oder eine dahingehende Einwilligung des Betroffenen vorliegt.

4. Datenminimierung

16

Der Datenminimierungsgrundsatz ist in Art. 5 Abs. 1 lit. c DSGVO niedergelegt. Er verlangt, dass der Umfang der verarbeiteten personenbezogenen Daten für den jeweiligen Zweck angemessen, erheblich und auf das notwendige Maß beschränkt ist. Die Anzahl der Verarbeitungsvorgänge ist hiernach aber nicht notwendigerweise zu beschränken.

Praxishinweis

Für die Überprüfung, ob die Verarbeitung dem Grundsatz der Datenminimierung gerecht wird, bietet sich eine vierstufige Prüfung an:31

 – Ist die Verwendung anonymisierter Daten möglich?

 – Sind die Daten dem Zweck angemessen?

 – Sind die Daten für den Zweck erheblich?

 – Sind die Daten auf ein notwendiges Maß beschränkt worden?

Die Datenmenge sollte auf das Maß beschränkt werden, das für die Zweckerreichung notwendig ist. Zudem sollte darauf geachtet werden, dass die Begrenzung auf ein notwendiges Maß auch die Genauigkeit personenbezogener Daten umfasst. Soweit also der Zweck der Verarbeitung durch aggregierte Daten erreicht werden kann, sollte dies auch geschehen.

5. Datenrichtigkeit

17

Das Gebot der Datenrichtigkeit ist in Art. 5 Abs. 1 lit. d DSGVO verankert. Danach muss der Verantwortliche darauf achten, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind, damit sie die Realität repräsentieren.32 Die personenbezogenen Daten sollen so den Betroffenen und dessen Verhältnisse korrekt widerspiegeln.33

18

Aus dem Grundsatz folgen unterschiedliche Gebote, abhängig von der einzelnen Verarbeitungsphase (erstmalige Erhebung und Speicherung oder die spätere Kontrolle):34 Bereits bei der erstmaligen Speicherung muss der Verantwortliche die personenbezogenen Daten aktiv35 auf Richtigkeit überprüfen.36 Dies beinhaltet eine der üblichen Sorgfalt entsprechende Prüfung, ob Gesichtspunkte gegen die Richtigkeit sprechen.37

19

 

Wird zu einem späteren Zeitpunkt die Unrichtigkeit ersichtlich, muss der Verantwortliche die betroffenen Daten löschen oder korrigieren.38 Art. 5 Abs. 1 lit. d DSGVO verlangt den Einsatz angemessener Überprüfungsmittel.39 Im Falle einer längerfristigen Verarbeitung nehmen die Anforderungen an die Prüfung der sachlichen Richtigkeit zu, da das Risiko für eine Änderung des tatsächlichen Zustands steigt.40

20

Auch aus der eigenen Perspektive des Verantwortlichen ist die Richtigkeit der Daten in zweierlei Hinsicht bedeutsam: Einerseits können oft nur korrekte Daten den gewünschten wirtschaftlichen Erfolg und die pflichtgemäße Aufgabenerfüllung herbeiführen.41 Anderseits steigern unrichtige Daten die Gefahr, dass Betroffene ihren Anspruch auf Berichtigung und Vervollständigung gemäß Art. 16 DSGVO geltend machen.42 Zudem kann der Betroffene die Richtigkeit der Daten gemäß Art. 18 Abs. 1 lit. a DSGVO bestreiten und die Einschränkung der Datenverarbeitung i.S.d. Art. 4 Nr. 3 DSGVO verlangen, bis dieser die Richtigkeit der Daten nachweist.43

Praxishinweis

Soweit Daten sich auf einen bestimmten Zeitpunkt beziehen, werden sie nicht zwangsläufig dadurch falsch, dass sich die Verhältnisse des Betroffenen geändert haben.44 Es sollte im Hinblick auf den Verarbeitungszweck differenziert werden:45 Dies wird im Zusammenhang etwa mit Gesundheitsdaten, die bei einer Untersuchung gespeichert werden, deutlich. Dort ist es denkbar, dass es der Verarbeitungszweck gebietet, diese Daten trotz Veränderung des Gesundheitszustands nicht zu korrigieren. Umgekehrt kann der Verarbeitungszweck die Aktualität der Daten aber auch wesensnotwendig voraussetzen, wie etwa bei der Speicherung von Zutrittsberechtigungen oder finanziellen Verhältnissen in Hinblick auf eine Kreditgewährung.

6. Speicherbegrenzung

21

Der Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO statuiert, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Die DSGVO schreibt somit ein zeitliches Limit für die Speicherung personenbezogener Daten bis zur Zweckerreichung vor.46 Die Speicherbegrenzung und der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO greifen ineinander. Der bereits angelegte Zweck bekommt eine Art „Haltbarkeitsdatum“.47 Jedenfalls bereits anonymisierte Daten sind – schon denklogisch aufgrund des Anwendungsbereichs in Art. 2 Abs. 1 DSGVO – von der Speicherbegrenzung ausgenommen. Eine Identifizierung Betroffener ist hierdurch ohnehin ausgeschlossen.48

Praxishinweis

Verantwortliche sollten deshalb für alle personenbezogenen Daten oder Datenkategorien eine Speicherfrist festlegen. Differenziert werden sollte zwischen einerseits der Zweckerreichung und andererseits den gesetzlich statuierten Aufbewahrungsfristen. Im Falle einer Aufbewahrung ausschließlich aus Gründen von Aufbewahrungsfristen empfiehlt es sich, technische und organisatorische Maßnahmen zu ergreifen, die eine anderweitige Verarbeitung verhindern.49 Zudem sollte der Verantwortliche Fristen oder iterative Zeiträume für eine Überprüfung der Daten implementieren.50 In der Regel erfolgt dies im Rahmen eines übergreifenden Löschkonzepts.51

22

Die Speicherbegrenzung bedingt u.a. die folgenden weiteren Pflichten des Verantwortlichen: die Pflicht zur (aktiven) Aufklärung des Betroffenen über die jeweilige Verarbeitungsdauer gemäß Art. 13 Abs. 2 lit. a bzw. 14 Abs. 2 lit. a DSGVO, die Pflicht auf Antrag zur erneuten, ggf. konkretisierten Benennung der Verarbeitungsdauer gemäß Art. 15 Abs. 1 lit. d DSGVO, die Pflicht zur Löschung gemäß Art. 17 Abs. 1 lit. a DSGVO oder Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 DSGVO nach entsprechendem Verlangen des Betroffenen.

23

Ausnahmen vom Grundsatz normiert Art. 5 Abs. 1 lit. e Hs. 2 DSGVO, der Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, für Zwecke der wissenschaftlichen und historischen Forschung und statistische Zwecke privilegiert. Bei einem entsprechenden Zweck ist weder dem Speicherbegrenzungs- noch dem Zweckbindungsgrundsatz Rechnung zu tragen.

7. Integrität und Vertraulichkeit

24

Nach dem Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO müssen personenbezogene Daten zur Abwendung bestimmter Risiken in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Der Grundsatz hängt deshalb eng mit Art. 24 und Art. 32 DSGVO zusammen und verlangt vom Verantwortlichen entsprechende technische und organisatorische Maßnahmen.52

25

Die Maßnahmen sollen insbesondere folgende zwei Kategorien von Risiken verhindern:53 Zum einen soll eine unbefugte oder unrechtmäßige Verarbeitung verhindert werden. Eine unbefugte Verarbeitung liegt insbesondere dann vor, wenn die Verarbeitung durch unbefugte Dritte gemäß Art. 4 Nr. 10 DSGVO erfolgt; eine unrechtmäßige Verarbeitung ist etwa im Falle eines Verstoßes gegen den Rechtmäßigkeits- und Zweckbindungsgrundsatz gegeben. Zum anderen soll ein unbeabsichtigter Verlust, die unbeabsichtigte Zerstörung und Schädigung verhindert werden. Ein Verlust, die Zerstörung oder Schädigung ist gegeben, wenn personenbezogene Daten „[...] abhandenkommen oder derart geändert werden, dass sie nicht mehr oder nur noch eingeschränkt für den vorgesehenen Zweck verarbeitet werden können“.54

26

Weiterhin soll der Grundsatz für Datensicherheit und eine lückenlos funktionierende IT-Infrastruktur sorgen. Primär verlangt Art. 5 Abs. 1 lit. f DSGVO deshalb vom Verantwortlichen, stets den Risiken und dem Stand der Technik entsprechende geeignete technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen.55 Vor allem fortschreitende technische Entwicklungen verlangen deshalb bei zeitlich umfassenden Verarbeitungshandlungen iterative Überprüfungen der Risiken für Betroffene durch die zu verarbeitenden Daten im Verhältnis zu den eingesetzten Gegenmaßnahmen.

27

Welche Anforderungen im Detail an technische und organisatorische Schutzmaßnahmen zu stellen sind, wird insbesondere durch Erwägungsgrund 39 S. 12 DSGVO,56 Art. 32 DSGVO57 und Art. 25 DSGVO58 konkretisiert.

3 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 10. 4 Zu den Rechtfertigungsgründen siehe Kap. 5. 5 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 10; siehe im Einzelnen zur Einwilligung auch Kap. 5 Rn. 243 und Kap. 19 Rn. 81; zu besonderen Kategorien personenbezogener Daten auch Kap. 5 Rn. 303; und zur Drittstaatenübermittlung auch Kap. 9 Rn. 123 und Kap. 19 Rn. 107. 6 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 13; Taeger/Piltz/Quiel, DSRITB 2021, S. 1, 7. 7 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 14. 8 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 15; dahingehend auch EDSA, Guidelines 8/2020 Rn. 9ff. 9 Anzumerken sei jedoch, dass die DSGVO kein absolutes Kopplungsverbot vorsieht, vgl. Moos/Strassemeyer, DSB 2020, 207, 208; siehe auch Kap. 17 Rn. 84. 10 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 14f. 11 Siehe dazu Pressemitteilung des Datenschutzbeauftragten von Rheinland-Pfalz, http://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/polizei-sollte-auf-corona-gaestelisten-nur-mit-richterlichem-beschluss-zugreifen-kugelmann-es-muss/, zuletzt abgerufen am 6.2.2021; Pressemitteilung Redaktion beck-aktuell, Regierung hält Gesetz für Polizei-Zugriff auf Corona-Gästelisten nicht für erforderlich, becklink 2017097. 12 Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 20; Auernhammer/Kramer, Art. 5 DSGVO Rn. 8–10; Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 17. 13 Dies wurde zuvor unter der DSRL ausschließlich unter Heranziehung des Grundsatzes von Treu und Glauben abgeleitet. 14 Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 21. 15 BeckOK-DS/Wolff, Syst. A. Rn. 69. 16 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 17; siehe für eine umfassende Einordnung dieser Vorgaben auch Strassemeyer, K&R 2020, 176, 177ff. 17 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 18; zu den Betroffenenrechten siehe Kap. 6. 18 Der Zweckbindungsgrundsatz ist größtenteils kein Novum. Er ist ein Ausdruck des sog. Volkszählungsurteils des Bundesverfassungsgerichts (vgl. BVerfGE 65, 146) und fand sich bereits fast wortgleich in Art. 6 Abs. 1 lit. b S. 1 DSRL und in ähnlicher Form auch in Art. 8 Abs. 2 S. 1 GRCh, siehe dazu Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 20f. 19 Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 27; siehe auch BeckOK-DS/Wolff, Syst. A. Rn. 24f., der auch eine konkludente Festlegung für ausreichend erachtet. 20 ErwG 39 S. 6 DSGVO; Schantz/Wolff//Wolff, Rn. 401. 21 Schantz/Wolff//Wolff, Rn. 401. 22 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 32. 23 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 35. 24 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 35. 25 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 36. 26 Siehe bereits für die DSRL Art.-29-Datenschutzgruppe, WP 203, S. 19f.; Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 37. 27 Schantz/Wolff/Wolff, Rn. 401. 28 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 26; ausführlich zur Weiterverarbeitung siehe Kap. 5 Rn. 137. 29 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 26; ausführlich zur Weiterverarbeitung siehe Kap. 5 Rn. 137. 30 ErwG 50 S. 1 DSGVO. 31 Vgl. Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 57. 32 BeckOK-DS/Wolff, Syst. A. Rn. 70; Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 39. 33 Albrecht/Jotzo, Teil 2 Rn. 10. 34 BeckOK-DS/Wolff, Syst. A. Rn. 71. 35 Gola/Pötters, DSGVO Art. 5 Rn. 24. 36 BeckOK-DS/Wolff, Syst. A. Rn. 71. 37 BeckOK-DS/Wolff, Syst. A. Rn. 71. 38 Albrecht/Jotzo, Teil 2 Rn. 11. 39 BeckOK-DS/Wolff, Syst. A. Rn. 71. 40 Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 39. 41 Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DSGVO Rn. 137; Hoeren, ZD 2016, 459. 42 Siehe hierzu auch Kap. 6 Rn. 343ff. 43 Albrecht/Jotzo, Teil 2 Rn. 11. 44 Albrecht/Jotzo, Teil 2 Rn. 11. 45 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 31. 46 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 64. 47 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 65. 48 Ausführlich zum Personenbezug siehe Kap. 2 Rn. 10 und Kap. 19 Rn. 21; siehe auch Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DSGVO Rn. 155, der sogar Pseudonymisierungsmaßnahmen ausreichen lässt. 49 Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DSGVO Rn. 159. 50 Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DSGVO Rn. 159; Erwägungsgrund 39 S. 9 DSGVO. 51 Siehe dazu Kap. 12 Rn. 36. 52 Siehe hierzu im Einzelnen Kap. 13. 53 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 73ff.; es wird darauf hingewiesen, dass die genannten Risiken jedoch nicht abschließend sind. Dies verdeutlicht der Wortlaut „einschließlich“ in Art. 5 Abs. 1 lit. f DSGVO. 54 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 75. 55 Ausführlich zu technischen und organisatorischen Maßnahmen siehe Kap. 13. 56 Erwägungsgrund 39 S. 12 statuiert die Verhinderung des Zugangs Unbefugter. 57 Ausführlich zu technischen Maßnahmen siehe Kap. 13 Rn. 13ff. 58 Ausführlich zu technischen Maßnahmen siehe Kap. 13 Rn. 13ff.