GEULEN & KLINGER Rechtsanwälte Dr.              Reiner         Geulen Prof.        Dr.       Remo     Klinger Dr.      Caroline      Douhaire  LL.M. 10719      Berlin, Schaperstraße 15 Telefon     +49/ 30 / 88 47 28-0 Telefax     +49/ 30 / 88 47 28-10 E-Mail      geulen@geulen.com klinger@geulen.com douhaire@geulen.com www.geulenklinger.com 1. Juli 2020 Vermerk zu Fragen der rechtlichen Zulässigkeit der Weiterverbreitung lebensmit- telrechtlicher Kontrollberichte auf “Topf Secret” Inhaltsverzeichnis A.     Pflichten des Plattformbetreibers hinsichtlich der Richtigkeit und Aktualität der veröffentlichten Informationen ....................................................................................... 3 I.     Prüfungspflichten gemäß DSGVO ...................................................................... 3 1.    Anwendungsbereich der DSGVO ................................................................... 3 2.    Prüfpflichten hinsichtlich der Richtigkeit und Aktualität der Informationen ....... 4 a.   Art. 5 Abs. 1 lit. d DSGVO ........................................................................... 4 aa.    Bedeutung des Grundsatzes ................................................................ 4 bb.    Gewährleistung der Richtigkeit der Informationen ................................ 6 cc.    Gewährleistung der Aktualität der Informationen .................................. 8 b.   Art. 5 Abs. 1 lit. e DSGVO ......................................................................... 10 aa.    Bedeutung des Grundsatzes .............................................................. 11 bb.    Erforderlichkeit der Daten über vergangene Lebensmittelkontrollen ... 11 II.    Prüfungspflichten für Hostprovider nach den Grundsätzen der Störerhaftung .. 14 III.      Ergebnis ....................................................................................................... 14 B.     Rechtmäßigkeit der Veröffentlichung wahrer Tatsachenbehauptungen ............... 15 Commerzbank AG in Berlin BLZ 100 800 00 Kto.-Nr. 07 148 100 00 IBAN: DE79 1008 0000 0714 8100 00 BIC: DRESDEFF100 USt-ID Nr.: DE 222 926 725

2 I.     Rechtmäßigkeit der ursprünglichen Veröffentlichung........................................ 16 1.    In die Abwägung einzustellende Rechte ....................................................... 17 a.    Allgemeines Persönlichkeitsrecht .............................................................. 17 b.    Berufsfreiheit ............................................................................................. 18 c.    Meinungsfreiheit des Portalbetreibers ....................................................... 19 d.    Meinungs- und Informationsfreiheit der Portalnutzer ................................. 20 2.    Interessenabwägung für ursprüngliche Veröffentlichung ............................... 20 a.    Wahre Tatsachen sind hinzunehmen ........................................................ 20 b.    Sozialsphäre ............................................................................................. 21 c.    Keine unzulässige Anprangerung .............................................................. 21 d.    Keine unzumutbaren Nachteile ................................................................. 23 e.    Zwischenergebnis ..................................................................................... 24 II.    Auswirkungen des zeitlichen Aspekts auf die Interessenabwägung ................. 25 1.    Hygienepranger-Beschluss des BVerfG vom 21.3.2018 ............................... 25 2.    „Recht auf Vergessen“- Entscheidungen des BVerfG vom 6.11.2019 ........... 27 a.    Wirkung und Gegenstand der Berichterstattung ........................................ 29 b.    Aktualisierung des öffentlichen Interesses................................................. 30 c.    Kontext der Information ............................................................................. 30 d.    Breitenwirksamkeit der Information ........................................................... 31 3.    Beschluss des BVerfG vom 29.6.2016.......................................................... 31 4.    Verwaltungsgerichtliche Rechtsprechung ..................................................... 32 5.    Zwischenergebnis ......................................................................................... 34 C.        Bedeutung des IWG ......................................................................................... 34

3 A. Pflichten des Plattformbetreibers hinsichtlich der Richtigkeit und Aktualität der veröffentlichten Informationen Untersucht werden soll, ob sich aus Art. 5 Abs. 1 lit. d DSGVO oder sonstigen Vorgaben der DSGVO eine Pflicht des Plattformbetreibers zur vorbeugenden Überprüfung der Richtigkeit und Aktualität der veröffentlichen Informationen ergibt und somit etwa Nach- forschungspflichten hinsichtlich der Behebung des Verstoßes oder eines erfolgreichen gerichtlichen Vorgehens gegen die lebensmittelrechtliche Ursprungsbeanstandung und entsprechende Aktualisierungspflichten bestehen. Dies ist zu verneinen. Hierzu im Einzelnen: I.   Prüfungspflichten gemäß DSGVO 1. Anwendungsbereich der DSGVO Die Eröffnung des Anwendungsbereichs der DSGVO und ihrer Verpflichtungen setzt die Verarbeitung personenbezogener Daten voraus. Was ein personenbezogenes Datum ist, ist in Art. 4 Nr. 1 DSG-VO geregelt. Hierunter fallen nur Informationen, „die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Die auf „TopfSecret“ veröffentlichten Kontrollberichte kön- nen daher nur dann als personenbezogene Daten qualifiziert werden, wenn der be- troffene Betrieb von einem identifizierbaren Einzelinhaber geführt wird. Juristische Per- sonen könnten sich auf den Schutz personenbezogener Daten nur berufen, soweit der Name der juristischen Person eine oder mehrere natürliche Personen bestimmt (VGH Mannheim, Beschluss vom 13. Dezember 2019 – 10 S 2647/19, juris Rn. 31 m.w.N.). Schon aus diesem Grund fällt zumindest ein Teil der veröffentlichten Berichte aus dem Anwendungsbereich der DSGVO heraus. Fraglich ist die Qualifizierung als personenbezogene Daten auch deshalb, weil es sich bei den publizierten Angaben über die hygienischen Zustände im Betrieb nicht um per- sönliche, sondern um sachliche Angaben zum Unternehmen handelt. Zwar werden vom

4 Begriff der personenbezogenen Daten teilweise auch sachliche Angaben wie etwa die Beziehungen des Betroffenen zu Dritten, Angaben zum Umfeld, seiner finanziellen Situ- ation (Vermögen, Gehalt, Kreditwürdigkeit), Vertragsbeziehungen, Freundschaften, Ei- gentumsverhältnisse, Konsum- oder Kommunikationsverhalten, Arbeitszeiten, E-Mail- Adressen und Ähnliches erfasst (Paal/Pauly/Ernst, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 14). Die Informationen der aus „TopfSecret“ veröffentlichen Kontrollberichte über die hygie- nischen Zustände weisen im Gegensatz zu diesen sachlichen Angaben aber gerade kei- nen qualifizierten Bezug zur Person des ggf. identifizierbaren Unternehmers auf. Inso- fern ist bereits fraglich, ob der Anwendungsbereich der DSGVO eröffnet ist. Dies müsste allerdings näher untersucht werden. 2. Prüfpflichten hinsichtlich der Richtigkeit und Aktualität der Informationen Ordnet man die veröffentlichten Informationen als personenbezogene Daten ein, stellt sich die Frage, ob sich aus der DSGVO Prüf- und Aktualisierungspflichten für die Platt- formbetreiber ergeben. Dies ist nicht der Fall. a. Art. 5 Abs. 1 lit. d DSGVO Ein solcher Anspruch könnte sich aus Art. 5 Abs. 1 lit. d DSGVO ergeben. Dieser lautet: „Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung un- richtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“)." aa. Bedeutung des Grundsatzes Die Richtigkeitsgrundsatz in Art. 5 Abs. 1 lit. d DSGVO korrespondiert mit dem in Art. 16 DSGVO verankerten Anspruch auf Berichtigung bzw. Ergänzung. Er hat jedoch insofern einen weitergehenden Gewährleistungsgehalt, als er den Verantwortlichen nicht nur dann zum Tätigwerden verpflichtet, wenn die betroffene Person einen Anspruch auf Be- richtigung geltend macht. Vielmehr müssen die Verantwortlichen von sich aus angemes- sene Maßnahmen ergreifen, um unrichtige Daten unverzüglich zu löschen oder zu be- richtigen (BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art. 5 Rn. 28).

5 In der Rechtsprechung finden sich allerdings keine Fälle, in denen ein Verstoß gegen Art. 5 Abs. 1 lit. d DSGVO isoliert geltend gemacht wird. Vielmehr geht es in den auffind- baren Entscheidungen um Berichtigungsansprüche aus Art. 16 DSGVO. Der Art. 5 Abs. 1 lit. d DSGVO wird hierbei nur als Argumentationsstütze angeführt. Erörterungen zu proaktiven Prüfungs- und Isolierungspflichten, die sich aus dem Richtigkeitsgrundsatz ergeben könnten, finden sich in der Rechtsprechung daher leider nicht. Gleichwohl ist davon auszugehen, dass die Vorgaben des Art. 5 Abs. 1 DSGVO trotz der Bezeichnung als „Grundsätze“ nicht nur unverbindliche Handlungsdirektiven sind, sondern verbindliche Pflichten der Verantwortlichen enthalten. Dies ergibt sich auch aus Art. 5 Abs. 2 DSGVO, der eine entsprechende Rechenschafts- pflicht normiert: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Der Grundsatz der Datenrichtigkeit ist somit zwar verbindlich, wird jedoch in der DSGVO nicht durch starre Prüf- und Aktualisierungspflichten konkretisiert. Insbesondere wird auch in Art. 24 Abs. 1 DSGVO die in Art. 5 Abs. 2 DSGVO festgelegte Verantwortlichkeit nur anhand von unbestimmten Rechtsbegriffen erörtert: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Um- stände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintritts- wahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürli- cher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbei- tung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichen- falls überprüft und aktualisiert.“ Eine eindeutige Aussage dazu, welche Maßnahmen zur Gewährleistung der Richtigkeit und Aktualität der Informationen zu treffen sind, lässt sich der DSGVO somit nicht ent- nehmen. Welche Maßnahmen zur Gewährleistung der Richtigkeit und Aktualität der In- formationen angemessen sind, ist vielmehr im Einzelfall unter Berücksichtigung des Zwecks der Verarbeitung zu bestimmen (BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art. 5 Rn. 29).

6 Im Ausgangspunkt ist hierbei zu berücksichtigen, dass Art. 5 Abs. 1 lit. d DSGVO hin- sichtlich des erforderlichen Schutzniveaus zwischen der Richtigkeit und der Aktualität der Daten differenziert: Personenbezogene Daten „müssen“ sachlich richtig sein. Sie müssen aber nur „erforderlichenfalls“, nämlich „im Hinblick auf die Zwecke ihrer Verar- beitung“, auf dem neuesten Stand sein. Hieraus lässt sich ableiten, dass an die Gewähr- leistung der sachlichen Richtigkeit der ursprünglich verarbeiteten Informationen deutlich höhere Anforderungen gestellt werden als an die Überwachung von Bestandsinformati- onen (ähnlich BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art. 5 Rn. 29). bb. Gewährleistung der Richtigkeit der Informationen Den hohen Anforderungen an die Gewährleistung der Richtigkeit der erstmals veröffent- lichten Kontrollberichte wird die „TopfSecret“ gerecht. Angesichts des behördlichen Ur- sprungs der Informationen, der eine gewisse Richtigkeitsvermutung begründet, dürfen die Plattformbetreiber davon ausgehen, dass die von der Behörde übermittelten Daten der Kontrollberichte „richtig“ sind. Wie die Plattformbetreiber die behördlich festgestellten Informationen weiter verifizieren könnten, ist schwer vorstellbar. Auch nachträgliche Veränderungen der Wirklichkeit machen veröffentlichte Daten nicht falsch, wenn es gerade um die Darstellung eines vergangenen Zustands oder Vorgangs geht. Vielmehr sind diese Daten dann „im Hinblick auf die Zwecke ihrer Verarbeitung“ richtig (BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art. 5 Rn. 31). So besteht beispielsweise keine Verpflichtung zur rückwirkenden Änderung des Namens in einer Personalakte nach geschlechtsangleichender Operation, wie das OVG Hamburg feststellt: „Dem VG ist darin zuzustimmen, dass die Änderung der Vornamen nicht ex tunc wirkt, weswegen die alten Vornamen auch nicht unrichtig geworden sind. Sie blei- ben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig. Ein Berichtigungsanspruch aus Art. 16 DS-GVO scheidet somit aus. Dieser Befund wird auch durch die Regelung in Art. 5 I Buchst. d DS-GVO, wonach personenbe- zogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein müssen, nicht infrage gestellt, sondern vielmehr bestätigt. Da es im vorliegen- den Fall auf den jeweiligen historischen Kontext ankommt, machen nachträgliche

7 Veränderungen der Wirklichkeit, wie die Änderung der Vornamen und der Ge- schlechtszugehörigkeit der Kl., die über sie gespeicherten personenbezogenen Daten nicht falsch. Die Bekl. hält ihre Personalakten bewusst auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entste- hung und Entwicklung des Dienstverhältnisses als historischem Geschehensab- lauf dokumentieren zu können, so dass sie die Daten auch nicht dem neuesten Stand anpassen muss; eine solche Anpassung, die aus den Akten nicht erkennbar wäre, könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit ver- stoßen (vgl. Roßnagel in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 5 DS-GVO Rn. 141).“ Der EuGH hat in Bezug auf die Protokollierung von Prüfungsantworten zur Vorgänger- regelung in Art. 6 Abs. 1 Buchst. d der Richtlinie 95/46 festgestellt: „Das in Art. 12 Buchst. b der Richtlinie 95/46 vorgesehene Recht auf Berichtigung kann es einem Prüfling zwar offenkundig nicht ermöglichen, „falsche“ Antworten im Nachhinein zu „berichtigen“. Aus Art. 6 Abs. 1 Buchst. d der Richtlinie 95/46 ergibt sich nämlich, dass die Rich- tigkeit und die Vollständigkeit personenbezogener Daten im Hinblick auf den Zweck zu beurteilen sind, für den die Daten erhoben wurden. Dieser Zweck be- steht bei den Antworten eines Prüflings darin, den Kenntnisstand und das Kompe- tenzniveau des betreffenden Prüflings zum Zeitpunkt der Prüfung festzustellen. Dieser Stand bzw. dieses Niveau spiegelt sich gerade in etwaigen Fehlern in die- sen Antworten wider. Solche Fehler stellen somit in keiner Weise eine Unrichtigkeit im Sinne der Richtlinie 95/46 dar, die ein Recht auf Berichtigung nach deren Art. 12 Buchst. b begründen würde.“ (EuGH, Urteil vom 20.12.2017, C-434/16, Celex-Nr. 62016CJ0434, Rn. 53) Informationen über vergangene Vorgänge und Zustände sind somit nicht falsch, sofern eindeutig gekennzeichnet ist, dass sie einen Ausschnitt aus der Vergangenheit darstel- len und keinen Anspruch auf Aktualität erheben. Diesen Anforderungen genügt die Platt- form, da das Datum der Kontrolle aus dem Kontrollbericht hervorgeht und der Veröffent- lichung folgender klarstellender Hinweis vorangestellt wird: „Die hier ggf. einsehbaren Hygiene-Kontrollergebnisse beschreiben die zum Zeit- punkt der Antragsstellung zuletzt festgestellten Befunde zum Zeitpunkt des jeweils genannten Datums. Über den Hygiene-Zustand des jeweiligen Betriebs zum jetzi- gen Zeitpunkt liegen keine Informationen vor.“ Sollten die in einem älteren Kontrollbericht festgestellten Hygienemängel daher nicht mehr aktuell sein, weil die Mängel inzwischen beseitigt wurden, führt dies nicht zur Un- richtigkeit der Informationen des alten Kontrollberichts, welche sich ersichtlich auf einen

8 Zeitpunkt in der Vergangenheit beziehen. Die strengen Anforderungen des Art. 5 Abs. 1 lit. d DSGVO an die Gewährleistung der Richtigkeit der Information („müssen“) greifen somit nicht. cc. Gewährleistung der Aktualität der Informationen Fraglich ist aber, ob der Plattformbetreiber eine Aktualisierung der Informationen des- halb von sich aus sicherstellen muss (z.B. durch aktive Nachforschungen), weil es mit Blick auf den Zweck der Informationsverarbeitung erforderlich ist, dass die Daten auf dem neusten Stand sind. „Zweck der Informationsverarbeitung“ ist der nach Art. 5 Abs. 1 lit. b DSGVO fixierte Zweck (Zweckbindung). Soweit ersichtlich, ist für die Veröffentlichung von Kontrollbe- richten keine entsprechende Zweckfestlegung erfolgt. Sofern man als Zweck der Veröf- fentlichung die „Transparenz in der Lebensmittelüberwachung“ heranzieht, lässt sich streiten, ob dieser Zweck nur dann erreicht werden kann, wenn die Informationen auf dem neuesten Stand sind. Dies ist eher nicht der Fall, zumal auch die Information über vergangene Zustände das Transparenzanliegen fördert. Zur Ermittlung der Anforderungen an die Aktualität der Daten sind auch die Auswirkun- gen auf die Betroffenen zu berücksichtigen (BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art. 5 Rn. 29; vgl. auch Art. 24 Abs. 1 DSGVO „Schwere der Risi- ken“). Vorliegend dürften aber übermäßige negative Auswirkungen insbesondere dann, wenn es um die Publikation unerheblicher Mängel geht, nicht zu befürchten sein (vgl. hierzu die Argumentation VGH Mannheim, Beschluss vom 13.12.2019 – 10 S 2614/19, juris Rn. 43 ff.). Eine Pflicht der Plattformbetreiber zur aktiven Nachforschung, ob aktu- ellere Kontrollberichte vorliegen, dürfte sich daher auch nicht aus dem besonderen Ri- siko für die Betroffenen ableiten lassen. Auch aus der Kommentierung zu Art. 5 lit. d DSGVO ergibt sich, dass an die Überwa- chung der Aktualität von Informationen keine überzogenen Anforderungen zu stellen sind. Hier heißt es: „Der Verantwortliche muss aber in Bezug auf die von ihm gespeicherten Daten erstens dafür sorgen, dass Informationen, welche die Richtigkeit der gespeicherten

9 Daten in Frage stellen, wahrgenommen werden, ggf. durch Beobachtung beson- ders relevanter Informationsquellen, und zweitens, wenn erforderlich, die vorhan- denen Daten überprüft und berichtigt werden. Dies setzt zB voraus, dass er den Informationsfluss in seiner Organisation sicherstellt, damit neue Informationen auch ihren Weg zu den Stellen finden, welche die Richtigkeit der Daten bewerten und sie ggf. korrigieren können.“ (BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art. 5 Rn. 29) Aus Art. 5 Abs. 1 lit. d DSGVO werden somit weniger Pflichten zur aktiven Recherche abgeleitet als vielmehr Vorgaben zur internen Organisation, welche die Wahrnehmung und Verarbeitung von neuen Informationen sicherstellen sollen. Der Plattformbetreiber muss somit gewährleisten, dass aktuelle Informationen, die ihm zugespielt werden, nicht ignoriert werden, sondern tatsächlich zur Überprüfung der Aktualität und ggf. Ergänzung der Bestandsdaten genutzt werden. Er muss sich jedoch nicht aktiv auf die Suche nach neuen Informationen machen. Denn ihm werden nur „angemessene“ Maßnahmen zur Gewährleistung der Aktualität abverlangt. Diesen Anforderungen wird die Plattform gerecht, wenn den Betroffenen angeboten wird, aktuellere Informationen zu veröffentlichen. Auch sollte dann, wenn die Plattform- betreibern auf anderem Wege Kenntnis über aktuellere Daten erlangen, sichergestellt sein, dass diese veröffentlicht werden. Gegen strenge Anforderungen an die aktiven Prüfpflichten der Plattformbetreiber strei- ten letztlich auch die Feststellungen des BVerfG in seiner Entscheidung zum Recht auf Vergessen I (BVerfG, Beschluss vom 6.11.2019 – 1 BvR 16/13, NJW 2020, 300). Das Gericht hebt hier zwar die Relevanz des Zeitablaufs für die verfassungsrechtliche Zuläs- sigkeit von Veröffentlichungen im Internet hervor. Es stellt aber auch fest, dass hieraus keine Pflicht für einen Inhalteanbieter abgeleitet werden kann, sämtliche einmal in das Netz gestellte Beiträge von sich aus regelmäßig auf ihre weitere Rechtmäßigkeit zu prü- fen. Dies wäre angesichts des hieraus resultierenden Drucks, von einer Bereitstellung von Inhalten im Internet ganz zu verzichten und damit eine Informationsaufgabe in wich- tiger Hinsicht nicht mehr zu erfüllen, nicht mit der Meinungs- und Pressefreiheit vereinbar (BVerfG, Urteil vom 6. November 2019, 1 BvR 16/13, Rn. 118). Hierauf aufbauend stellt das BVerfG fest: „Ein Verlag darf daher davon ausgehen, dass ein anfänglich rechtmäßig veröffent- lichter Bericht bis auf weiteres auch in ein Onlinearchiv eingestellt und bis zu einer

10 qualifizierten Beanstandung durch Betroffene für die Öffentlichkeit bereitgehalten werden darf. Verpflichtende Schutzmaßnahmen sind der Presse erst dann zumut- bar, wenn Betroffene sich an sie gewandt und ihre Schutzbedürftigkeit näher dar- gelegt haben. Dies ist umgekehrt auch den Betroffenen zumutbar, die auf diese Weise ihre Beschwer nachvollziehbar geltend machen können und so zugleich den Kontrollrahmen für die Prüfung durch den Verlag bestimmen“ (BVerfG, Urteil vom 6. November 2019, 1 BvR 16/13, Rn. 119) Diese Feststellungen, die sich auch auf die unionsrechtliche Grundrechtslage übertra- gen ließen, sind bei der Auslegung des Art. 5 Abs. 1 lit. d DSGVO zu beachten. Es kann den Betroffenen daher zugemutet werden, zunächst einen Anspruch auf Berichtigung bzw. Ergänzung nach Art. 16 DSGVO geltend zu machen. Eine proaktive Prüfpflicht zur Aktualisierung der Kontrollberichte besteht nicht. b. Art. 5 Abs. 1 lit. e DSGVO Dasselbe gilt im Ergebnis für den in Art. 5 Abs. 1 lit. e) DSGVO verankerten Grundsatz der Speicherbegrenzung, der ebenfalls Vorgaben zur Aktualität der verarbeiteten Daten macht. Nach Art. 5 Abs. 1 lit. e) DSGVO müssen personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Perso- nen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, so- weit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, aus- schließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissen- schaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);“ Sind Daten für den Verarbeitungszweck nicht mehr erforderlich, dürfen sie nach dem Grundsatz der Zweckerreichung nicht auf Vorrat für noch unbestimmte Zwecke bereit- gehalten werden.