Referenzliste erreicht werden. Im Ergebnis müssen die Daten derart geändert werden, dass die Identifizierung der betroffenen Person nicht mehr möglich ist. Dies ist dann der Fall, wenn die Daten keiner identifizierten oder identifizierbaren Person mehr zugeordnet werden können.
70
Der Verantwortliche muss also in Datensätzen gegebenenfalls den Namen und weitere personenbezogene Daten, die eine Identifizierbarkeit ermöglichen, löschen, wenn sich die Zwecke erledigt haben.[83] Wenn bspw. die Durchführung eines Kaufvertrags mit den zugehörigen Daten beim Verantwortlichen abgebildet ist, müssen diese Kaufvertragsdaten nach dem Grundsatz der Speicherbegrenzung für den Primärzweck der Kaufvertragsdurchführung bis zum Auslaufen von Gewährleistungsansprüchen vorgehalten werden. Danach sind diese Daten nur noch für mitgliedstaatliche gesetzliche Nebenzwecke, wie handels- und steuerrechtliche Zwecke, vorzuhalten.[84]
71
ErwG 39 S. 10 fordert, dass vom Verantwortlichen Fristen für die Löschung oder der regelmäßigen Überprüfung der personenbezogenen Daten vorgesehen sind. Die vorgesehenen Löschfristen sind auch Bestandteil des VVT gem. Art. 30 Abs. 1 lit f. In zahlreichen einzelnen Vorgaben der DS-GVO wird der Grundsatz der Speicherbegrenzung ebenfalls konkretisiert. Beispielsweise verpflichtet Art. 13 Abs. 2 lit. a bzw. Art. 14 Abs. 2 lit. a den Verantwortlichen dazu, über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer zu informieren. Art. 15 Abs. 1 lit. d räumt dem Betroffenen ein entsprechendes Auskunftsrecht ein. Von Bedeutung zur Absicherung des Grundsatzes der Speicherbegrenzung sind das Recht auf Löschung gem. Art. 17 Abs. 1 lit. a und das Recht auf Einschränkung der Verarbeitung gem. Art. 18 Abs. 1.
72
Eine Ausnahme vom Grundsatz der Speicherbegrenzung für Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke gem. Art. 89 Abs. 1 regelt Art. 5 Abs. 1 lit. e Hs. 2. Sie ist eine Durchbrechung des Zweckbindungsgrundsatzes des Art. 5 Abs. 1 lit. b. Die Forderung nach geeigneten Garantien in der Ausnahme vom Speicherbegrenzgrundsatz ist insofern redundant, als nach Art. 89 die gleiche Verpflichtung besteht.[85]
73
Die Privilegierung der Verarbeitung zu öffentlichen Archivzwecken hat auch Auswirkungen auf die Anwendung anderer Normen, wie bspw. § 6 BArchG. Dieser regelt die Anbietung und Abgabe von Unterlagen durch öffentliche Stellen des Bundes an öffentliche Bundes- oder Landesarchive, die einer Geheimhaltungs-, Vernichtungs- oder Löschpflicht unterliegen. Nach § 6 Abs. 2 BArchG sind Unterlagen von der Anbietungspflicht ausgenommen, die nach gesetzlichen Vorschriften vernichtet oder gelöscht werden müssen und die nach diesen gesetzlichen Vorschriften nicht ersatzweise den zuständigen öffentlichen Archiven angeboten werden dürfen. Grundsätzlich wären davon auch Unterlagen betroffen, die personenbezogene Daten beinhalten. Diesen Umstand hat der Normgeber der DS-GVO erkannt und durch die Regelungen der Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke privilegiert. Durch die Privilegierung der Verarbeitung zu öffentlichen Archivzwecken sind diese Verarbeitungen vom Grundsatz der Speicherbegrenzung weitgehend befreit und die Daten gerade nicht zu löschen oder zu vernichten. Daneben ist die Verarbeitung personenbezogener Daten zu öffentlichen Archivzwecken eine in Art. 5 Abs. 1 lit. b ausdrücklich privilegierte Zweckänderung, auf die der Grundsatz der Zweckbindung nur begrenzte Anwendung findet. Unterlagen, die personenbezogene Daten enthalten, unterliegen somit keiner gesetzlichen Vernichtungs- oder Löschpflicht, soweit sie zu öffentlichen Archivzwecken verarbeitet werden. Sie sind nicht gem. § 6 Abs. 2 BArchG von der Anbietungspflicht des § 6 Abs. 1 BArchG ausgenommen.
VII. Integrität und Vertraulichkeit, Abs. 1 lit. f (Integrity and Confidentialy)
74
Der Grundsatz der Integrität und Vertraulichkeit ist die technisch organisatorische Ausprägung des Datenschutzrechts. Danach müssen personenbezogenen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Bereits Art. 17 Abs. 1 DSRL und § 9 BDSG a.F. verpflichtete Verantwortliche und Auftragsverarbeiter dazu, angemessene technische und organisatorische Maßnahme vorzunehmen, die den Betroffenen vor unrechtmäßigen Verarbeitung seiner Daten schützen. Diese Vorgaben zum Systemdatenschutz übernimmt Art. 5 Abs. 1 lit. f und erklärt sie zu einem allgemeinen Grundsatz jeder Datenverarbeitung, um deren Bedeutung zu stärken.[86]
75
Zum einen sollen Integrität und Vertraulichkeit den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung gewährleisten. Eine unrechtmäßige Verarbeitung liegt vor, wenn hierfür keine Rechtsgrundlage vorliegt. Eine unbefugte Verarbeitung ist gegeben, wenn ein Dritter im Sinne von Art. 4 Nr. 10 ohne Befugnis eine Datenverarbeitung vornimmt. Deshalb ist durch technisch organisatorische Maßnahmen der unbefugte Zugang zu personenbezogenen Daten zu verhindern.[87]
76
Daneben soll ein unbeabsichtigter Verlust, eine unbeabsichtigte Zerstörung oder eine unbeabsichtigte Schädigung verhindert werden. Ein unbeabsichtigter Verlust, eine unbeabsichtigte Zerstörung oder unbeabsichtigte Schädigung von Daten liegt vor, wenn in der Sphäre des Verantwortlichen durch mit der Datenverarbeitung betrauten Personen Daten verlustig gehen, zerstört oder beschädigt werden. Das ist insbesondere dann der Fall, wenn Daten abhanden kommen oder derart geändert werden, dass sie nicht mehr oder nur noch eingeschränkt für den vorgesehenen Zweck verarbeitet werden können.
77
Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere von dem Risiko eines unberechtigten Zugriffs, der Art der Verarbeitung[88] sowie der Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen ab.[89] So werden bspw. persönliche Finanz- oder Gesundheitsdaten eines höheren Schutzes bedürfen, als der Name oder das Alter einer Person. Nach ErwG 39 gehört zu den Schutzmaßnahmen zumindest, dass personenbezogene Daten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
78
Vergleichbare Anforderungen wie Art. 5 Abs. 1 lit. f stellte auch § 9 BDSG a.F. auf. Die Anlage zu § 9 BDSG a.F. listet technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.[90] Zu beachten ist aber, dass diese Auflistung schon in Bezug auf § 9 BDSG a.F. nicht abschließend war. Sie erschöpft somit nicht die nach Art. 5 Abs. 1 lit. f möglichen und erforderlichen Maßnahmen.
79
Der Grundsatz der Vertraulichkeit und Integrität
