Praxishandbuch DSGVO. Tobias Rothkegel
IT-Infrastruktur sorgen. Primär verlangt Art. 5 Abs. 1 lit. f DSGVO deshalb vom Verantwortlichen, stets den Risiken und dem Stand der Technik entsprechende geeignete technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen.55 Vor allem fortschreitende technische Entwicklungen verlangen deshalb bei zeitlich umfassenden Verarbeitungshandlungen iterative Überprüfungen der Risiken für Betroffene durch die zu verarbeitenden Daten im Verhältnis zu den eingesetzten Gegenmaßnahmen.
27
Welche Anforderungen im Detail an technische und organisatorische Schutzmaßnahmen zu stellen sind, wird insbesondere durch Erwägungsgrund 39 S. 12 DSGVO,56 Art. 32 DSGVO57 und Art. 25 DSGVO58 konkretisiert.
3 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 10. 4 Zu den Rechtfertigungsgründen siehe Kap. 5. 5 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 10; siehe im Einzelnen zur Einwilligung auch Kap. 5 Rn. 243 und Kap. 19 Rn. 81; zu besonderen Kategorien personenbezogener Daten auch Kap. 5 Rn. 303; und zur Drittstaatenübermittlung auch Kap. 9 Rn. 123 und Kap. 19 Rn. 107. 6 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 13; Taeger/Piltz/Quiel, DSRITB 2021, S. 1, 7. 7 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 14. 8 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 15; dahingehend auch EDSA, Guidelines 8/2020 Rn. 9ff. 9 Anzumerken sei jedoch, dass die DSGVO kein absolutes Kopplungsverbot vorsieht, vgl. Moos/Strassemeyer, DSB 2020, 207, 208; siehe auch Kap. 17 Rn. 84. 10 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 14f. 11 Siehe dazu Pressemitteilung des Datenschutzbeauftragten von Rheinland-Pfalz, http://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/polizei-sollte-auf-corona-gaestelisten-nur-mit-richterlichem-beschluss-zugreifen-kugelmann-es-muss/, zuletzt abgerufen am 6.2.2021; Pressemitteilung Redaktion beck-aktuell, Regierung hält Gesetz für Polizei-Zugriff auf Corona-Gästelisten nicht für erforderlich, becklink 2017097. 12 Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 20; Auernhammer/Kramer, Art. 5 DSGVO Rn. 8–10; Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 17. 13 Dies wurde zuvor unter der DSRL ausschließlich unter Heranziehung des Grundsatzes von Treu und Glauben abgeleitet. 14 Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 21. 15 BeckOK-DS/Wolff, Syst. A. Rn. 69. 16 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 17; siehe für eine umfassende Einordnung dieser Vorgaben auch Strassemeyer, K&R 2020, 176, 177ff. 17 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 18; zu den Betroffenenrechten siehe Kap. 6. 18 Der Zweckbindungsgrundsatz ist größtenteils kein Novum. Er ist ein Ausdruck des sog. Volkszählungsurteils des Bundesverfassungsgerichts (vgl. BVerfGE 65, 146) und fand sich bereits fast wortgleich in Art. 6 Abs. 1 lit. b S. 1 DSRL und in ähnlicher Form auch in Art. 8 Abs. 2 S. 1 GRCh, siehe dazu Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 20f. 19 Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 27; siehe auch BeckOK-DS/Wolff, Syst. A. Rn. 24f., der auch eine konkludente Festlegung für ausreichend erachtet. 20 ErwG 39 S. 6 DSGVO; Schantz/Wolff//Wolff, Rn. 401. 21 Schantz/Wolff//Wolff, Rn. 401. 22 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 32. 23 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 35. 24 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 35. 25 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 36. 26 Siehe bereits für die DSRL Art.-29-Datenschutzgruppe, WP 203, S. 19f.; Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 37. 27 Schantz/Wolff/Wolff, Rn. 401. 28 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 26; ausführlich zur Weiterverarbeitung siehe Kap. 5 Rn. 137. 29 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 26; ausführlich zur Weiterverarbeitung siehe Kap. 5 Rn. 137. 30 ErwG 50 S. 1 DSGVO. 31 Vgl. Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 57. 32 BeckOK-DS/Wolff, Syst. A. Rn. 70; Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 39. 33 Albrecht/Jotzo, Teil 2 Rn. 10. 34 BeckOK-DS/Wolff, Syst. A. Rn. 71. 35 Gola/Pötters, DSGVO Art. 5 Rn. 24. 36 BeckOK-DS/Wolff, Syst. A. Rn. 71. 37 BeckOK-DS/Wolff, Syst. A. Rn. 71. 38 Albrecht/Jotzo, Teil 2 Rn. 11. 39 BeckOK-DS/Wolff, Syst. A. Rn. 71. 40 Paal/Pauly/Frenzel, Art. 5 DSGVO Rn. 39. 41 Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DSGVO Rn. 137; Hoeren, ZD 2016, 459. 42 Siehe hierzu auch Kap. 6 Rn. 343ff. 43 Albrecht/Jotzo, Teil 2 Rn. 11. 44 Albrecht/Jotzo, Teil 2 Rn. 11. 45 Taeger/Gabel/Voigt, Art. 5 DSGVO Rn. 31. 46 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 64. 47 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 65. 48 Ausführlich zum Personenbezug siehe Kap. 2 Rn. 10 und Kap. 19 Rn. 21; siehe auch Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DSGVO Rn. 155, der sogar Pseudonymisierungsmaßnahmen ausreichen lässt. 49 Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DSGVO Rn. 159. 50 Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DSGVO Rn. 159; Erwägungsgrund 39 S. 9 DSGVO. 51 Siehe dazu Kap. 12 Rn. 36. 52 Siehe hierzu im Einzelnen Kap. 13. 53 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 73ff.; es wird darauf hingewiesen, dass die genannten Risiken jedoch nicht abschließend sind. Dies verdeutlicht der Wortlaut „einschließlich“ in Art. 5 Abs. 1 lit. f DSGVO. 54 Kühling/Buchner/Herbst,