konzipierten technischen und organisatorischen Maßnahmen werden hinsichtlich der Kosten
und der vorliegenden Rahmenbedingungen optimiert; d.h. sie stellen die minimale Basis einer
Konformität mit bestehenden gesetzlichen Anforderungen dar. Die Maßnahmen sind zu priori-
sieren, sodass die Ressourcen zur Umsetzung sinnvoll geplant werden können.”

Diese Maßnahmen sind zu Nachweiszwecken zu dokumentieren. Das Datenschutzmanage-
mentsystem, kurz DMS, stellt alle dokumentierten und implementierten Regelungen, Prozesse
und Maßnahmen dar, mit denen der datenschutzkonforme Umgang mit personenbezogenen Da-
ten in der Behörde systematisch gesteuert und kontrolliert wird. Das oben beschriebene Daten-
schutzkonzept setzt auf dem DMS der verantwortlichen Stelle auf. Dieses verfahrensspezifische
Datenschutzkonzept unterscheidet sich von einem behördenweiten Informationssicherheitsrah-
menkonzept°!, Dieses letztgenannte Konzept dient als Grundlage zur Erfüllung der gesetzlichen
Anforderungen an den Datenschutz einer Behörde. Es beschreibt alle erforderlichen Maßnah-
men zur Aufrechterhaltung des Datenschutzes sowie alle IT-Systeme, die personenbezogene
Daten verarbeiten. Das verfahrensspezifische Datenschutzkonzept hingegen bewertet die Ver-
arbeitung personenbezogener Daten im speziellen durch das betreffende Verfahren und prüft
die eigens für spezielle Verfahren erforderliche technische und organisatorische Maßnahmen.

Das verfahrensspezifische Datenschutzkonzept gliedert sich in das DMS des Verantwortlichen
nach der DSGVO ein. In Abbildung 1 ist der Bezug eines typischen verfahrensspezifischen
Datenschutzkonzeptes zu den angrenzenden Fachgesetzen, zur DSGVO, zum SDM und zum

behördenspezifischen Datenschutzmanagement zu erkennen.

30 Der AK Technik der DSK veröffentlich im Rahmen eines Maßnahmenkatalogs sukzessive sogenannten „Bau-
steine“, die einzeln zur Anwendung freigegeben werden, siehe hier den Hinweis auf die Bausteine „Dokumenta-
tion“, „Protokollieren“ und „Löschen“ vom 30.06.2020.
3! Vgl. dazu die „Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO“ der DSK, S. 2.

41

Datenschutz- | | Datenschutz- | Datenschutz-
Konzept | | Konzept | Konzept
\_Verfahren1 | | Verfahren2 | Verfahren n

 

Datenschutz-Management-System der Behörde

Landes-
ERS ae te afecckteir2e) eeteafsjekteh re)
des Bundes, z.B. SGB, des Landes, z.B. WoGG,
DSGVO

Abbildung 1: Einordnung eines verfahrensspezifischen Datenschutzkonzepts

   

une SchulG

  

Schließlich ist zu definieren, in welchen Abständen die Inhalte des Datenschutzkonzepts und
die notwendigen Maßnahmen überprüft und ggf. überarbeitet werden müssen, damit die darin
und in den Anlagen enthaltenen Angaben stets aktuell sind. Dies ist in DSGVO der „Rechen-
schaftspflicht‘‘ des Verantwortlichen gemäß Art. 5 Abs. 2 DSGVO begründet. Aus den Erfah-
rungen der Praxis empfiehlt sich eine jährliche Fortschreibung bzw. Aktualisierung des Daten-
schutzkonzeptes. Bei neuen technischen Gegebenheiten oder veränderten Anforderungen muss
ggf. eine Neubewertung des Risikos sowie des Schutzbedarfes durchgeführt werden, was wie-
derum die Etablierung neuer Datenschutzmaßnahmen und die Aktualisierung des Datenschutz-
konzeptes, des Maßnahmenkatalogs und des Verzeichnisses von Verarbeitungstätigkeiten nach

sich ziehen kann.

VI. Datenschutz-Folgenabschätzung
1. Notwendigkeit der Durchführung nach Art. 35 DSGVO

Der Verantwortliche muss vor Beginn der Datenverarbeitung eine datenschutzrechtliche Ab-
schätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezo-
gener Daten durchführen, wenn entweder eine Pflicht für die konkrete Verarbeitungstätigkeit
nach Art. 35 Abs. 4 DSGVO (sog. Black List) vorliegt, ein Regelbeispiel nach Art. 35 Abs. 3
DSGVO erfüllt ist oder grundsätzlich aufgrund von Art, Umfang, Umständen und Zweck der
Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen anzunehmen
ist, Art. 35 Abs. 1 DSGVO.

Aus Sicht des Europäischen Datenschutzausschusses (EDSA) ist keine Datenschutz-Folgenab-
schätzung erforderlich, „falls ein Verarbeitungsvorgang gemäß Art. 6 Abs. 1 lit. c, e auf einer

42

Rechtsgrundlage im Unionsrecht oder im Recht der Mitgliedstaaten beruht und diese Rechts-
vorschrift den konkreten Verarbeitungsvorgang regelt und falls bereits im Rahmen der Schaf-
fung dieser Rechtsgrundlage eine DS-FA erfolgte (Art. 35 Abs. 10 DSGVO), es sei denn, ein
Mitgliedstaat erklärt, dass es notwendig ist, vor den fraglichen Verarbeitungstätigkeiten eine
DS-FA durchzuführen.“ Eine DS-FA kann auch von Nutzen sein, wenn die Auswirkungen
eines Technologieprodukts auf den Datenschutz untersucht werden sollen, was z. B. der Fall
sein kann, wenn ein Hardware- oder Softwareprodukt aller Wahrscheinlichkeit nach von meh-
reren für die Datenverarbeitung Verantwortlichen für verschiedene Verarbeitungsvorgänge ein-

gesetzt wird.”

2.  Positiv- und Negativliste

Eine Datenschutz-Folgenabschätzung ist entbehrlich, wenn die Verarbeitungstätigkeit auf einer
sog. White List nach Art. 35 Abs. 5 DSGVO aufgeführt wird. Der Bundesbeauftragte für den
Datenschutz und die Informationsfreiheit (BfDI), zuständig für die öffentlichen Stellen des
Bundes, $ 9 BDSG, hat bislang noch keine White List 1.S.d. Art. 35 Abs. 5 DSGVO veröffent-
licht. Auch die Landesdatenschutzbehörden, die zuständig für die Datenverarbeitung durch
Landesbehörden sind, haben noch keine entsprechende Liste veröffentlicht.

Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung kann sich aus der Black
List (Art. 35 Abs. 4 DSGVO) des BfDI°* ergeben. Danach ist eine Datenschutz-Folgenabschät-
zung gem. Art. 35 Abs. 1 DSGVO erforderlich, für die mindestens zwei der dort genannten
Merkmale zutreffen.

Bei Onlinediensten häufig betroffen ist das Kriterium der Datenverarbeitungen in großem Um-
fang (Nr. 5 der Black List). Für die Annahme einer Datenverarbeitung in großem Umfang sind

verschiedene Kriterien zu beachten:°°

2 Art. 29 — Datenschutzgruppe WP 248 Rev. 01, S. 15.
% Art. 29 — Datenschutzgruppe WP 248 Rev. 01,8. 8.

34 https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_Verarbeitungsvorgaenge-

Art35.html;jsessionid=3FA252AA76EFDB24DEIECCECO7143862.2_cid344?nn=9937868, zuletzt aufgeru-
fen am 29.07.2020 in der Version 1.1 vom 01.10.2019.

> Art. 29 — Datenschutzgruppe WP 248 Rev. 01,8. 11.

 

43

- Zahl der Betroffenen, entweder als konkrete Anzahl oder als Anteil der entspre-
chenden Bevölkerungsgruppe”®

- verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Da-

tenelemente
- Dauer oder Dauerhaftigkeit der Datenverarbeitung

- geografisches Ausmaß der Datenverarbeitung: Verarbeitung auf regionaler, natio-

naler oder supranationaler Ebene°”

Im Übrigen ist stets im Einzelfall zu prüfen, ob gegebenenfalls als weiteres Kriterium die Ver-
arbeitung vertraulicher oder höchstpersönlicher Informationen (Nr. 4 der Black List), beispiels-
weise von Finanzdaten (Buchstabe d) oder besonderer Kategorien personenbezogener Daten
(Buchstabe a) im Raum steht. Ist kein oder nur ein Kriterium der Black List einschlägig, so ist
auch die allgemeine Regel des Art. 35 Abs. 3 DSGVO zu beachten. Hierbei handelt es sich
jedoch stets um eine Prüfung des Einzelfalls.

36 Dazu Baumgartner, in: Ehmann/Selmayr, 2. Aufl. 2018, DSGVO Art. 35 Rn. 38: Der Parlamentsentwurf der
DSGVO stellte in einem teilweise vergleichbaren Zusammenhang auf einen Schwellenwert von 5.000 betroffe-
nen Personen innerhalb von zwölf aufeinanderfolgenden Monaten ab. Der Gesetzgeber hat sich jedoch gegen
eine schematische Herangehensweise entschieden, so dass im Einzelfall auch bei deutlich weniger Betroffenen
eine umfangreiche Verarbeitung vorliegen kann.

7 In Anlehnung an EG 91 der DSGVO, der sich auf Art. 35 Abs. 3 lit. b DSGVO bezieht. Er bietet aber auch für
die Auslegung des Begriffes innerhalb der „Black - List“ einen Anhaltspunkt. Siehe auch Schwendemann, in:
Sydow, DSGVO, Art. 35 Rn. 13, mit Hinweis auf den ursprünglichen Parlamentsentwurf und den Erwägungs-
grund 75, der eine Schwelle für ein „konkretes Risiko“ bei einer Verarbeitung von 5000 betroffenen natürlichen
Personen innerhalb von 12 Monaten vorgesehen hat. Dieser Schwellenwert liegt nun höher, weil der Erwä-
gungsgrund 91 von einem „wahrscheinlich hohen Risiko“ spricht und keine zahlenmäßige Grenze erwähnt.

44

D. Prozedurale Vorkehrungen

I. Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 Abs. 1S. 1 DSGVO ist der Verantwortliche verpflichtet, ein Verzeichnis über alle
Verarbeitungstätigkeiten”® schriftlich — auch in elektronischer Form — zu führen. Dem Verant-
wortlichen wird dadurch die Einhaltung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO
bezüglich der Einhaltung der DSGVO erleichtert: In dem Verarbeitungsverzeichnis werden die
Verarbeitungstätigkeiten dokumentiert, die in der Zuständigkeit des Verantwortlichen liegen.
Deshalb sind die im Rahmen von Digitalisierungsprojekten neu hinzukommenden Verarbei-
tungstätigkeiten auch für die interne Verarbeitungsübersicht festzuhalten. In Gegensatz zum
früheren Verfahrensverzeichnis wird das Verarbeitungsverzeichnis regelmäßig nicht öffentlich
geführt”? und ist nur auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen, Art. 30 Abs.
4 DSGVO.

Der notwendige Inhalt des Verarbeitungsverzeichnisses eines Verantwortlichen ergibt sich aus
Art. 30 Abs. 1S.2 lit. a bis gDSGVO, wobei eine Erweiterung oder Modifizierung erforderli-
cher Informationen auf Landesebene möglich ist.°° Auch der Auftragsverarbeiter muss nach
Art. 30 Abs. 2 DSGVO ein Verarbeitungsverzeichnis führen, das in Bezug auf die darin aufzu-

nehmenden Pflichtangaben weniger umfangreich ausfällt.

Das Muster-Verarbeitungsverzeichnis im Anhang enthält noch keine landesrechtlichen Beson-
derheiten. Es ist für einen Verarbeitungsvorgang gedacht, der im Rahmen der Digitalisierung
von Verwaltungsleistungen unter der Verantwortung einer öffentlichen Stelle oder Behörde in

das Gesamtverzeichnis aufzunehmen ist.

>® Vgl. dazu die grundlegenden „Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO“ der
DSK, hier.

5° In Brandenburg ist vorgesehen, dass es von Jedermann eingesehen werden kann, vgl. $ 4 Abs. 3 S. 1
BbgDSG.

60 In Art. 8 Abs. 2 BayDSG heißt es beispielsweise: „Bei der Verarbeitung von Daten im Sinne des Art. 9 Abs.
1.DSGVO sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Perso-
nen vorzusehen. Diese Maßnahmen sind in dem Verzeichnis nach Art. 30 DSGVO darzustellen.“ In Art. 31.
1 BayDSG ist zudem vorgesehen, dass neben den zwecken auch die Rechtsgrundlage für die Datenverarbei-
tung sowie ggf. die Verwendung von Profiling mit aufzunehmen ist. Nach Art. 31 S. 2 BayDSG findet Art.
30 Abs. 5 DSGVO, wonach das Verarbeitungsverzeichnis erst ab einer bestimmten Betriebsgröße zu führen
ist, keine Anwendung.

45

I. Umgang mit Betroffenenrechten

1. Überblick über Betroffenenrechte nach DSGVO

Die Rechte der Betroffenen ergeben sich aus Art. 12 ff. DSGVO. Die zur Gewährleistung dieser
Rechte getroffenen Maßnahmen sind im Datenschutzkonzept darzustellen. Insbesondere ist da-

bei auf die folgenden kurz skizzierten Rechte näher einzugehen.

a) Transparente Information (Art. 13, 14 DSGVO)

Es kann ein kurzer Hinweis erfolgen, dass Nutzende im Rahmen der Datenschutzerklä-
rung über die Verarbeitung der Daten entsprechend der Vorgaben gemäß Art. 13, 14
DSGVO informiert werden und wo diese Datenschutzerklärung zu finden ist.

b) Grundsätzliches Verfahren bei der Bearbeitung von Anfragen Betroffener / Aus-
kunftsanspruch nach Art. 15 DSGVO

Unter diesem Stichwort können kurze Ausführungen erfolgen, wie bei elektronischen o-
der schriftlichen Anfragen der Betroffenen innerhalb der Organisation des Verantwortli-
chen verfahren und in welcher Form eine Auskunft oder Antwort erteilt wird. Weitere
Unterpunkte können sich auf den Auskunftsanspruch nach Art. 15 DSGVO, das Recht
auf Berichtigung nach Art. 16 DSGVO und das Recht auf Löschung und Einschränkung
der Verarbeitung nach Art. 17 und 18 DSGVO beziehen.

c) Widerspruchs- und Beschwerderecht (Art. 21 Abs. 1, 77 DSGVO)

Gemäß Art. 21 DSGVO kann eine betroffene Person Widerspruch gegen die Verarbei-
tung sie betreffender personenbezogener Daten erheben, sofern die Datenverarbeitung auf
der Rechtsgrundlage des Art. 6 Abs. 1 lit. e DSGVO erfolgte. Zu diesem Thema kann der
Hinweis erfolgen, dass die Betroffenen auf dieses Recht in der Datenschutzinformation

hingewiesen und etwaige Beschwerden im Einzelfall geprüft werden.

d) Gewährleistung der Integrität und Vertraulichkeit

Die Datenverarbeitung ist gem. Art. 5 Abs. 1 lit. f DSGVO insgesamt in einer Weise zu
gewährleisten, die durch geeignete technische und organisatorische Maßnahmen eine an-
gemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz
vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, un-
beabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Auch dazu kann erklärungs-

weise ein kurzer Abschnitt in der Datenschutzkonzeption erfolgen.

46

2: Datenschutzinformation

Den Verantwortlichen treffen nach der DSGVO Transparenz- und Informationspflichten, Art.
12 ff DSGVO. Insbesondere ist er gesetzlich verpflichtet, je nach Konstellation eine transpa-
rente Datenschutzinformation nach Art. 13 und 14 DSGVO zu erstellen und diese den Betroffe-
nen in transparenter und leicht zugänglicher Form zu übermitteln. Dabei reicht auch eine Ab-

rufbarkeit der Datenschutzinformation etwa auf der Informationswebseite eines Onlineportals.

a) Abgrenzung der Information nach Art. 13 und 14 DSGVO

Werden die Daten beim Betroffenen direkt erhoben, so muss eine Datenschutzinforma-
tion unter Beachtung der Anforderungen des Art. 13 DSGVO erfolgen. Art. 14 DSGVO
stellt hingegen Anforderungen für den Fall auf, dass die Daten nicht beim Betroffenen
selbst, sondern etwa über eine dritte Person erhoben werden. In beiden Erklärungen muss
unter anderem auf die Zwecke, die Rechtsgrundlagen und den Verantwortlichen hinge-
wiesen werden. Die Benennung der Kategorien personenbezogener Daten ist nur nach
Art. 14 DSGVO erforderlich. Beide Vorschriften sehen Ausnahmen von der Informati-
onspflicht etwa in dem Fall vor, dass der Betroffene bereits über die Informationen ver-
fügt. Zur Beurteilung der Frage, ob die Informationen im Verfügungsbereich des Be-
troffenen sind, bietet sich eine Orientierung an Sinn und Zweck der Informationspflichten
an. Die Information dient in erster Linie dazu, den Betroffenen durch ausreichende Infor-
mation in die Lage zu versetzen, seine Betroffenenrechte nach den Art. 12 ff. DSGVO
geltend zu machen. Art. 14 DSGVO hält gegenüber Art. 13 noch eine Reihe weiterer im
Einzelfall zu prüfender Ausnahmen der Informationspflicht bereit, wie etwa die Unmög-
lichkeit oder Unverhältnismäßigkeit der Auskunftserteilung (Art. 14 Abs. 5 DSGVO).

b)  Webseitenerklärung

Eine Datenschutzinformation, die über die Verarbeitung personenbezogener Daten durch
eine Informationswebseite oder einen Onlinedienst informiert, muss auf dieser Webseite
ohne weiteres auf- und abrufbar sein. Nicht erforderlich ist es entgegen weitverbreiteter
Praxis hingegen, dass die Betroffenen der Webseitenerklärung zustimmen. Es handelt sich
dabei nicht um eine Einwilligungserklärung nach Art. 7 DSGVO, die der Betroffene ex-
plizit in informierter Weise erteilen muss. Hinsichtlich der Datenschutzinformation muss
es dem Betroffenen lediglich möglich sein, die entsprechenden Informationen - bevor die
Datenverarbeitung erfolgt - zur Kenntnis zu nehmen. Da der Verantwortliche jedoch nach
Art. 12 Abs. 1 DSGVO gehalten ist, geeignete Maßnahmen zu treffen, die Informationen
nach den Art. 13 und 14 DSGVO in möglichst transparenter und leicht zugänglicher Form

47

zu vermitteln, bietet es sich an, Nutzende mit einer Checkbox auf die Datenschutzerklä-
rung hinzuweisen. Der Text dieser Checkbox sollte indes keine Zustimmung des Be-
troffenen, sondern lediglich seine Kenntnisnahme erfordern und einen Link auf die ent-

sprechende Datenschutzinformation enthalten.
3. Praktische Konsequenzen

Aus der Pflicht zur Gewährung von Betroffenenrechten ergibt sich eine Reihe von praktisch
und technisch umzusetzenden prozeduralen Anforderungen, die im Folgenden dargestellt wer-

den.

a) Festlegung von Zuständigkeiten zum Umgang mit Betroffenenrechten

Der Verantwortliche muss sich im Einzelnen darüber Gedanken machen, wer bzw. wel-
che Organisationseinheit innerhalb seiner Struktur für die konkrete Bearbeitung von Be-
troffenenanfragen zuständig ist. Konkret sollte also beispielsweise eine Behörde, die da-
tenschutzrechtlich verantwortlich ist, eine Abteilung speziell benennen; die Benennung

einzelner Mitarbeiter ist nicht erforderlich.

Diese Information ist zum einen im Datenschutzkonzept auszuführen und zum anderen
rein organisatorisch umzusetzen. Im Einzelnen sollte für die Betroffenen mithin eine
Möglichkeit der Kontaktaufnahme via Telefon oder E-Mail bzw. postalisch bestehen, die
innerhalb der Arbeitsorganisation des Verantwortlichen auch betreut wird, sodass etwa
sichergestellt ist, dass auf ein Auskunftsersuchen hin eine entsprechende Antwort inner-
halb eines überschaubaren Zeitraumes erfolgt. Die Ausführungen im Datenschutzkonzept
können insofern auch bei der Erläuterung der jeweiligen Betroffenenrechte erfolgen, in-
dem jeweils daraufhin gewiesen wird, welche Organisationseinheit in welcher Form bei-

spielsweise auf eine Löschanfrage reagiert.

b) Einwilligungsmanagement

Nach Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die be-
troffene Person in die Verarbeitung eingewilligt hat. Nach Art. 7 Abs. 1 DSGVO liegt die
materielle Beweislast, dass sämtliche im Antragsprozess Betroffenen eingewilligt haben,
beim datenschutzrechtlich Verantwortlichen. Der Verantwortliche muss nachweisen,

dass er eine wirksame Einwilligung von der betroffenen Person erhalten hat°!. Zu diesem

61 Siehe zu den Anforderungen an eine wirksame Einwilligung schon unter C. IV. 2. d).

48

„Erhalten“, macht die DSGVO keine genauen Angaben“. Kann der Verantwortliche den
Nachweis im Streitfall nicht erbringen, gilt die Einwilligung mit allen daraus resultieren-
den Haftungsrisiken als nicht erteilt‘?. Ausreichend ist, dass nachgewiesen werden kann,
dass eine eindeutige, bestätigende Handlung vorlag (z.B. durch die Nutzung einer Opt-

in-Lösung).‘*

Der in der Praxis rechtssicherste Nachweis im Sinne des Art. 7 Abs. 1 DSGVO ist die
schriftliche Einwilligung oder die Speicherung der gesamten Einwilligung in Textform.

Entsprechend dem Grundsatz der Datenminimierung soll die Nachweispflicht des Ver-
antwortlichen allerdings nicht zu einer unnötigen Speicherung weiterer Daten des Be-
troffenen führen, sondern lediglich eine angemessene Dokumentation beim Verantwort-
lichen einführen.‘° Das bedeutet, dass die Verantwortlichen über ausreichend Daten ver-
fügen sollten, um zu zeigen, dass eine Einwilligung erteilt wurde. Sie sollten jedoch nicht
mehr Informationen erheben, als dazu erforderlich ist. Ausreichend und gleichzeitig dem
Grundsatz der Datensparsamkeit entsprechend stellt deshalb die elektronische Protokol-
lierung der Einwilligungserteilung eine gute Alternative dar. Der Nachweis über die
elektronische Einwilligung gelingt dabei am leichtesten über ein sog. Double-Opt-in Ver-
fahren, wobei nach einer elektronischen Einwilligungserklärung der Erklärende mit einer
an die von ihm angegebenen E-Mail-Adresse aufgefordert wird, die erfolgte Einwilligung
zu bestätigen.‘ Diese Variante stellt sich freilich in der Praxis als nicht sehr nutzerfreund-
lich dar, da zusätzliche Aktionen von den Betroffenen gefordert werden.

Nutzerfreundlicher ist deshalb die bloße Speicherung der Metadaten durch den Verant-
wortlichen. Dies ist ausreichend, da der Inhalt der Einwilligungserklärung nach der
DSGVO nicht jederzeit durch den Betroffenen abrufbar sein muss‘. Zum Nachweis ge-
nügt es deshalb, entsprechende Metadaten des Einwilligenden zu speichern, die protokol-

lieren, wer, wann die Einwilligung erteilt hat.

62 Taeger, in: Taeger/Gabel, Art. 7 DSGVO, Rn. 4.

Stemmer, in: BeckOK DatenschutzR, 31. Ed. 1.2.2020, DSGVO Art. 7 Rn. 86.

Paschke, in: Ehmann/Selmayr/Heckmann, 2. Aufl. 2018, DSGVO Art. 7 Rn. 69.

Paschke, in: Ehmann/Selmayr/Heckmann, 2. Aufl. 2018, DSGVO Art. 7 Rn. 72, Artikel-29-Datenschutz-
gruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, S. 24.

Taeger, in: Taeger/Gabel, 3. Aufl. 2019, DSGVO Art. 7 Rn. 41.

So war es bisher nach deutschen Recht vorgesehen, vgl. $ 13 Abs. 2 TMG bzw. $ 28 Abs. 3a BDSG aF soweit
diese elektronisch eingeholt wurde, dazu Gola, in: Schulz, DSGVO, 2. Aufl. 2018, Art. 7 Rn. 63.

49

68

69

70

Nicht ausreichend wäre hingegen der Nachweis, dass ein Dienst technisch erst nach An-
kreuzen eines Einwilligungstextes genutzt werden kann.°® Die Datenschutzkonferenz for-
dert insofern einen konkreten Einwilligungsnachweis auf Einzelnutzerebene.‘? Zur Erfül-
lung der Verpflichtung kann sich der Verantwortliche Hilfspersonen bedienen, solange
und soweit sein jederzeitiges uneingeschränktes Recht zum Zugriff auf die Dokumenta-

tion rechtlich und tatsächlich sichergestellt ist.”

Eine Befristung der Nachweispflicht enthält Art. 7 Abs. 1 DSGVO nicht. Zur Wahrung
der Verhältnismäßigkeit wird aber aus Art. 5 Abs. 1 lit.c DSGVO abzuleiten sein, dass
die Pflicht zur Vorhaltung des Nachweises endet, wenn die Verarbeitung vollständig ab-
geschlossen ist, die personenbezogenen Daten beim Verantwortlichen nicht mehr vorhan-
den sind oder der Verantwortliche kein rechtliches Interesse (etwa mit Blick auf Scha-
densersatzprozesse) mehr daran hat, den Nachweis noch führen zu können (ggf. mit Ab-

lauf der Verjährungsansprüche der Betroffenenrechte).”!

c) _Löschkonzept

Das Löschen von personenbezogenen Daten dient mehreren Grundsätzen der DSGVO
wie z.B. der Datenminimierung, der Speicherbegrenzung und der Zweckbindung. Nach
Art. 17 DSGVO ist der Verantwortliche auf Verlangen der Betroffenen zur Löschung,
d.h. zur Unkenntlichmachung, der gespeicherten personenbezogenen Daten verpflichtet.
Zudem besteht eine Löschpflicht, wenn es gesetzlich vorgegebene Speicherfristen gibt,
die die maximale Speicherdauer bestimmter Daten begrenzen. Aus Art. 17 Abs. 1
DSGVO i.V.m. Art. 5 Abs. 1 Buchst b und c DSGVO i.V.m. dem u.a. in Art. 6 DSGVO
normierten Grundsatz der Erforderlichkeit folgt zudem eine allgemeine Löschpflicht: Die
Daten sind zu löschen, sobald sie nicht mehr erforderlich sind. Aufgrund des unionsrecht-
lichen Normwiederholungsverbots kann eine solche allgemeine Löschpflicht nicht im
mitgliedstaatlichen Recht geregelt werden. Jedoch können und sollten konkrete Regelun-

Hanloser, ZD 2019, 287 (288); Stemmer, in: BeckOK DatenschutzR, 31. Ed. 1.2.2020, DSGVO Art. 7 Rn. 87,
88; Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, S.
25

ZD 2019, 287; Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019,
abrufbar unter: www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, s. dazu auch Artikel-
29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, S. 25.
Spiecker gen. Döhmann, in: Simitis/Hornung/, Datenschutzrecht, DSGVO Art. 7 Rn. 45.

Spiecker gen. Döhmann, in: Simitis/Hornung/, Datenschutzrecht, DSGVO Art. 7 Rn. 44.

50