DSGVO - BDSG - TTDSG

2. Maßnahmen zur Umsetzung

47

Die Einführung eines umfassenden Datenschutzmanagementsystems, dessen Erforderlichkeit unter dem Vorbehalt der Verhältnismäßigkeit in Art. 24 Abs. 2 DSGVO angedeutet wird,114 kann maßgebend zur Erfüllung der Rechenschaftspflicht beitragen, da es die Überwachung und Dokumentation sämtlicher Verarbeitungsprozesse ermöglicht.115 Auch die Expertise eines Datenschutzbeauftragten sowie Datenschutz-Folgenabschätzungen nach Art. 35 Abs. 7 DSGVO (siehe Art. 35 Rn. 33ff.) können zur bestmöglichen Erbringung erforderlicher Nachweise beitragen.116 Vorrangig haben jedoch Verzeichnisse über Verarbeitungstätigkeiten nach Art. 30 DSGVO (vgl. bereits Rn. 42) das Potenzial, als mögliche Form des Nachweises besonders hilfreich zu sein.117 Das Verarbeitungsverzeichnis mit seinem vorgeschriebenen (Mindest-)Umfang nach Art. 30 Abs. 1 Satz 2 DSGVO könnte als Nukleus für darüber hinausgehende Dokumentationen dienen und ohne erheblichen Aufwand mit sämtlichen gem. Art. 5 Abs. 2 DSGVO erforderlichen Nachweisen (siehe oben Rn. 42, 43) angereichert bzw. verknüpft werden. Denkbar erscheint sogar, das Verzeichnis (welches vorzugsweise elektronisch geführt und ggf. durch spezielle Datenschutzsoftware unterstützt wird) derart zu erweitern, dass aus ihm die Konformität jedes Verarbeitungsschrittes mit sämtlichen Vorgaben der DSGVO hervorgeht.

48

Der Grundsatz der Rechenschaftspflicht wird in erster Linie durch Art. 24 DSGVO konkretisiert:118 Gemäß Abs. 1 der Vorschrift ist der Verantwortliche zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen sowie erforderlichenfalls zu deren Überprüfung und Aktualisierung verpflichtet, um den Nachweis dafür erbringen zu können, dass die Verarbeitung DSGVO-konform erfolgt. Damit der Verantwortliche dazu imstande ist, auf ein aufsichtsbehördliches Nachweisbegehren pflichtgemäß zu reagieren, muss er folglich bereits im Vorfeld der Datenverarbeitung interne Compliance-Maßnahmen ergreifen.119 Zu beachten ist, dass sich Art. 24 Abs. 1 Satz 1 DSGVO nicht wie Art. 5 Abs. 2 DSGVO nur auf die Verarbeitungsgrundsätze bezieht, sondern der Nachweis der Einhaltung sämtlicher DSGVO-Vorgaben sichergestellt werden muss. Die mittels eines Datenschutzmanagementsystems (vgl. Rn. 47) zu dokumentierenden Vorgänge umfassen daher unter anderem auch die folgenden, über den Regelungsgehalt des Art. 5 Abs. 1 DSGVO (siehe oben Rn. 42, 43) hinausgehenden Aspekte:120

 – die Verantwortlichkeitsstruktur innerhalb eines personenbezogene Daten verarbeitenden Unternehmens (Benennung, Geeignetheit und Zuverlässigkeit sowie ordnungsgemäße Einbindung und Ausstattung eines Datenschutzbeauftragten; zentrale oder dezentrale Verantwortlichkeitsstruktur);

 – die Implementierung von Datenschutzrichtlinien und Prozessen zur Datenschutzorganisation;

 – die Erstellung von Konzepten für sowie die Durchführung von Mitarbeiterschulungen;

 – etwaige Behördenkommunikation;

 – den Umgang mit vorgefallenen Datenschutzverletzungen (insbesondere die fristgerechte Benachrichtigung der Behörde sowie getroffene Maßnahmen zur Abwehr und Schadensminimierung);121

 – durchgeführte Datenschutz-Folgenabschätzungen;122

 – die regelmäßige Anpassung und Überprüfung der getroffenen Maßnahmen an neue Vorgaben der Gerichte oder der Aufsichtsbehörden;123

 – der Umgang mit Datenpannen, insbesondere die Meldung oder der Grund für die fehlende Meldung an die zuständige Aufsichtsbehörde.

1 Voigt/von dem Bussche, DSGVO, S. 113 m.w.N; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 1. 2 § 3a BDSG a.F. enthielt die Grundsätze der Datenverarbeitung und Datensparsamkeit; § 4 Abs. 1 BDSG a.F. stellte jede Verarbeitung personenbezogener Daten unter den Vorbehalt der Rechtmäßigkeit. 3 Pötters, in: Gola, DS-GVO, Art. 5 Rn. 4. 4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281/, S. 31–50; im Folgenden: „Datenschutzrichtlinie“ (DSRl). 5 Vgl. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 4; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 6. 6 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 6; a.A. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 4, der den Grundsatz der Integrität und Vertraulichkeit als bereits in Art. 17 Abs. 1 DSRl angelegt ansieht. 7 Eine umfassende Darstellung der inhaltlichen Differenzen findet sich bei Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 6 sowie bei Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 7f. 8 Vgl. Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 6; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 15. 9 Voigt/von dem Bussche, DSGVO, S. 113 m.w.N.; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 26. 10 Vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 21, 26. 11 Das BVerwG hat gleichwohl festgestellt, dass § 4 Abs. 1 Satz 1 BDSG (Videoüberwachung durch private Stellen) nicht den Öffnungsklauseln unterfällt und daher unangewendet bleiben muss, BVerwG, Urt. v. 27.3.2019 – 6 C 2/18, Rn. 47. 12 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 82; Gola, in: Gola, DS-GVO, Art. 23 Rn. 15f. 13 Vgl. Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1118; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 83 Rn. 24; auch Veil, ZD 2018, 9, 13, sieht dieses Problem. 14 Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 15 LG Berlin, Beschl. v. 18.2.2021 – (526 OWi LG) 212 Js-OWi 1/20, ITRB 2021, 81 m. Anm. Dovas, nicht rechtskräftig. 16 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 9; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8. 17 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 9. 18 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 10; ähnlich Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 16. 19 So im Ergebnis auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 11; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 6; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 5; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 2. 20 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8. 21 So auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 8, sowie Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 14. 22 EuGH, Urt. v. 16.7.2020 – Rs. C-311/18, CR 2020, 529 – Schrems II. Zu gegebenenfalls neben den Standardvertragsklauseln zu ergreifenden zusätzlichen Schutzmaßnahmen siehe EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_de, sowie Jungkind/Raspé/Schramm, NZG 2020, 1056, 1057ff.; Voigt, CR 2020, 513, 515f. 23 Voigt/von dem Bussche, DSGVO, S. 129; a.A. Art.-29-Datenschutzgruppe, Guidelines on Consent under Regulation 2016/679, Working Paper 259, 22, 23. 24 Voigt/von dem Bussche, DSGVO, S. 129; Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 5, 6. 25 Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 7. 26 Voigt/von dem Bussche, DSGVO, S. 129; Wächter, Datenschutz im Unternehmen, Rn. 553. 27 Ähnlich kritisch auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 46f. 28 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 2 Rn. 4; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 9; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 13 m.w.N.; Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 14. 29 „Personal data shall be: processed lawfully, fairly and in a transparent manner in relation to the data subject.“ 30 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 2 Rn. 4; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 9; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 14; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 18; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 7; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 14; Schmitz, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, S. 64 Rn. 14. 31 Ähnlich auch Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 14. 32 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 9. 33 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 10 m.w.N. 34 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 14 m.w.N. 35 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 8; Pötters, in: Gola, DS-GVO, Art. 6 Rn. 12. 36 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 8; Pötters, in: Gola, DS-GVO, Art. 6 Rn. 12. 37 Vgl. ErwG 47 Satz 1 sowie 50 Satz 6 DSGVO. 38 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 10 m.w.N. 39 Vgl. ErwG 47 Satz 3 DSGVO. 40 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 11; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 21. 41 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 21 m.w.N.; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 65 Rn. 15. 42 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 11; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 21; Böhm/Ströbel, in: Wybitul, DSGVO, Art. 5 Rn. 9. 43 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 11; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 65 Rn. 15. 44 ErwG 39 Sätze 4–6 DSGVO. 45 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 2 Rn. 5 m.w.N.; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 10; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 10; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 19; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 22; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 17; Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 5 Rn. 27ff.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 4; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 52, 53. 46 Siehe z.B. Çalışkan, ZD-Aktuell 2018, 04327. 47 Vgl. zu dieser Frage Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 12 Rn. 45, Art. 15 Rn. 5a m.w.N. 48 ULD, Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten, Stand: 25.5.2018, S. 4, https://uldsh.de/dsgvo-aerzte. 49 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 13; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 13; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 72. 50 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 14; Wybitul, in: Wybitul, DSGVO, Einl. Rn. 70; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 72, 74; de Terwangne, in: Kuner/Bygrave/Docksey, GDPR, Art. 5, S. 315. 51 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 14 m.w.N.; ähnlich Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 66 Rn. 22. 52 So Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 20. 53 So Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 32; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 27; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 14; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 75. 54 Dass dies grundsätzlich möglich ist, ergibt sich aus ErwG 32 Satz 5 DSGVO. 55 „Personal data shall be collected for specified, explicit and legitimate purposes (...).“ 56 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 2 Rn. 8; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 14; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 65, 76; vgl. auch Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 26. 57 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 14 m.w.N. 58 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 27. 59 Voigt/von dem Bussche, DSGVO, S. 115 m.w.N.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 5; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 71. 60 Voigt/von dem Bussche, DSGVO, S. 116 m.w.N. 61 Voigt/von dem Bussche, DSGVO, S. 115; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 15 m.w.N.; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 17 m.w.N; de Terwangne, in: Kuner/Bygrave/Docksey, GDPR, Art. 5, S. 315. 62 Voigt/von dem Bussche, DSGVO, S. 115 m.w.N.; Böhm/Ströbel, in: Wybitul, DSGVO, Art. 5 Rn. 13; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 91. 63 Pötters/Rauer, in: Wybitul, DSGVO, Art. 6 Rn. 51f.; vgl. auch Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 21; de Terwangne, in: Kuner/Bygrave/Docksey, GDPR, Art. 5, S. 316. 64 Vgl. den Wortlaut der Vorschrift: „unter anderem“. 65 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 22 m.w.N.; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 49; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 103. 66 Voigt/von dem Bussche, DSGVO, S. 117 m.w.N.; vgl. Taeger, Datenschutzrecht, Teil III, Rn. 120. 67 Voigt/von dem Bussche, DSGVO, S. 117; Böhm/Ströbel, in: Wybitul, DSGVO, Art. 5 Rn. 19. 68 Kritisch Wächter, Datenschutz im Unternehmen, Rn. 474. 69 Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 23 m.w.N.; Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 4. 70 Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 25 Rn. 12. 71 Vgl. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019 über die Verhängung eines Bußgeldes in Höhe von 14,5 Mio. EUR gegen die Deutsche Wohnen SE, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 72 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 60; ähnlich Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 39. 73 Pötters, in: Gola, DS-GVO, Art. 5 Rn. 24; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 143. 74 Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 43; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 141. 75 Vgl. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 61. 76 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 61; siehe auch Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 29. 77 Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 24; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 63; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 42. 78 So aber z.B. in § 27 Abs. 2 Satz 1 BDSG, § 12 MStV. 79 ErwG 39 Satz 8 DSGVO. 80 ErwG 39 Satz 10 DSGVO. 81 Voigt/von dem Bussche, DSGVO, S. 119 m.w.N. 82 So auch Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, D. IV.; Keppeler/Berning, ZD 2017, 314. 83 Keppeler/Berning, ZD 2017, 314, 317, sprechen im Hinblick auf die erstmalige Erstellung eines Löschkonzepts von einer „regelrechten Herkulesaufgabe“. 84 Eine Darstellung der praxisrelevantesten technischen und rechtlichen Probleme im Zusammenhang mit den Löschpflichten nach der DSGVO findet sich bei Keppeler/Berning, ZD 2017, 314. 85 Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, D. IV. 12; daneben existiert eine gleichnamige Leitlinie, bei der es sich um einen Vorgänger der DIN-Norm handelt und die im Gegensatz zu dieser als kostenfrei verfügbares Dokument abgerufen werden kann: Hammer/Schuler, Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, Version 1.0.3., Stand: 26.10.2015, https://www.secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf. Auch eine Guideline der European Union Agency for Network and Information Security liefert Praxishinweise für die Datenlöschung: ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personaldata-processing, S. 45, 46 (4.2.8). 86 Zu den wichtigsten gesetzlichen Aufbewahrungspflichten siehe Voigt/Mühlbauer, Deutschland: Übersicht über wichtige Speicherungs- bzw. Aufbewahrungsfristen für Unterlagen mit personenbezogenen Daten, https://www.teletrust.de/fileadmin/docs/fachgruppen/AG_Recht/Aufbewahrungsfristen.pdf. 87 Voigt/von dem Bussche, DSGVO, S. 117; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 68; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26. 88 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 33 m.w.N. 89 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27. 90 Strittig, so aber Voigt/von dem Bussche, DSGVO, S. 211f. sowie mit Vorbehalten Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 17 Rn. 8ff. 91 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 27; vgl. auch Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019 über die Verhängung eines Bußgeldes in Höhe von 14,5 Mio. EUR gegen die Deutsche Wohnen SE, https://www.datenschutzberlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 92 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 35 m.w.N.; praktische Hinweise für die Einrichtung einer Zugriffskontrolle zur Wahrung der Vertraulichkeit liefert die ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing, S. 35 (4.1.1.3). 93 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 49; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 28; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 76; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 29. 94 Die Pflicht wird von den Behörden teilweise sehr weit ausgelegt: Gegen die AOK Baden-Württemberg wurde ein Bußgeld in Höhe von 1,24 Mio. EUR verhängt wegen der Nutzung von E-Mail-Adressen zu Werbezwecken ohne Einwilligung. Die AOK veranstaltete ein Gewinnspiel, wobei sie die dadurch erlangten Daten auch für Werbezwecke einsetzen wollte, wenn die Teilnehmer dem zugestimmt hatten. Aufgrund unzureichender Vorkehrungen wurden jedoch auch die Daten von ca. 500 Teilnehmern für Werbezwecke verwendet, die dem nicht zugestimmt hatten. Dies wurde nicht etwa als Verstoß gegen die Vorgaben aus Art. 6 DSGVO gewertet, sondern als Verstoß gegen die Vorgaben aus Art. 32 DSGVO, siehe Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Pressemitteilung vom 30.6.2020, https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/. 95 Hierzu ausführlich Voigt, IT-Sicherheitsrecht, Rn. 312ff., sowie die sehr hilfreichen Stellungnahmen der ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personaldata-processing, und Handbook on Security of Personal Data Processing, Januar 2018, https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing. 96 In der englischen Sprachfassung: „Accountability“. 97 Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 53. 98 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 29; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 18; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 74 Rn. 46. 99 Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 180. 100 Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 181. 101 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 9; Haag, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil 2 Kapitel 2 Rn. 4; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 75 Rn. 47 m.w.N; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 186. 102 Veil, ZD 2018, 9, 11f. 103 Veil, ZD 2018, 9, 12 m.w.N., geht davon aus, dass die Nachweispflicht „keine Beweislastregel, sondern eine materielle Nachweispflicht“ sei. 104 Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 12 m.w.N. 105 Eine ausführliche tabellarische Übersicht über die von der Nachweispflicht umfassten Vorgaben findet sich in: Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 10, sowie bei Lachenmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, A. I. 106 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 5 Rn. 55 m.w.N. 107 Veil, ZD 2018, 9, 13–16; vgl. auch Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 5 Rn. 43ff. 108 Becker, in: Plath, BDSG DSGVO, Art. 83 Rn. 3; Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 83 Rn. 113 m.w.N. 109 Vgl. auch Keppeler/Berning, ZD 2017, 314, 319. 110 Bergt, in: Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 66 m.w.N. 111 Voigt/von dem Bussche, DSGVO, S. 41; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 80; vgl. auch Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 Rn. 62. 112 Dies ergibt ein Umkehrschluss aus Art. 28 Abs. 10 DSGVO. 113 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 7. 114 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 78. 115 Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 74 Rn. 46; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 186. 116 Voigt/von dem Bussche, DSGVO, S. 41. 117 Voigt/von dem Bussche, DSGVO, S. 41; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 80. 118 Pötters, in: Gola, DS-GVO, Art. 5 Rn. 26; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 78; Schmitz, in: Moos/Schefzig/Arning, DSGVO, S. 73 Rn. 43. 119 Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 38; vgl. ErwG 78 Satz 2 DSGVO; eine Reihe praktikabler Ansätze für die Erfüllung der Rechenschaftspflicht liefert auch Jung, ZD 2018, 208. 120 Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 3 Rn. 10. 121 Hierzu Voigt, IT-Sicherheitsrecht, Rn. 332ff. 122 Hierzu im Detail Koglin, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 5. 123 Vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 181.