‘- Gemäß §16 des Datenschutzgesetzes hat ein Kontrolleur oder ein Auftragsverarbeiter, wenn die Daten zu Archivierungszwecken, zur wissenschaftlichen und historischen Forschung verarbeitet werden, besondere Maßnahmen zum Schutz der Interessen der betroffenen Personen zu ergreifen. Bei der Auswahl geeigneter Maßnahmen müssen die Kontrolleure und Verarbeiter den Stand der Technik, die Kosten der Durchführung, Art, Umfang, Kontext und Zweck der Verarbeitung sowie die mit einer solchen Verarbeitung verbundenen Risiken für die Rechte und Freiheiten des Einzelnen berücksichtigen.
Diese Maßnahmen können Folgendes umfassen:
(a) technische und organisatorische Maßnahmen, die die Erfüllung der Verpflichtung nach Artikel 5 Absatz 1 Buchstabe c) GDPR sicherstellen;
(b) die Erstellung von Aufzeichnungen über die Verarbeitung personenbezogener Daten, zumindest für die Verarbeitung personenbezogener Daten, wie die Erhebung, Eingabe, Änderung und Löschung personenbezogener Daten, die es ermöglichen, die Identität der Person, die die Operation durchführt, zu ermitteln und zu überprüfen, und die Aufbewahrung dieser Aufzeichnungen für einen Zeitraum von mindestens zwei Jahren nach der Operation;
(c) die Mitarbeiter und andere Personen, die personenbezogene Daten verarbeiten, über ihre Verpflichtungen zum Schutz personenbezogener Daten zu informieren;
(d) die Ernennung eines Datenschutzbeauftragten;
(e) spezifische Beschränkungen für den Zugang zu personenbezogenen Daten;
(f) Pseudonymisierung personenbezogener Daten;
(g) Verschlüsselung personenbezogener Daten;
(h) Maßnahmen zur Gewährleistung der fortdauernden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten;
(i) Maßnahmen zur Wiederherstellung der Verfügbarkeit personenbezogener Daten und zur rechtzeitigen Bereitstellung für diese Daten im Falle von Vorfällen;
(j) den Prozess der regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit der angewandten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung;
(k) besondere Beschränkungen für die Übermittlung personenbezogener Daten an ein Drittland oder
(l) besondere Einschränkungen bei der Verarbeitung personenbezogener Daten für andere Zwecke.
Gemäß Artikel 16 Absatz 3 des Datenschutzgesetzes (sofern nicht gesetzlich anders bestimmt) kann der für die Verarbeitung Verantwortliche die Ausübung bestimmter Rechte der betroffenen Person, einschließlich des Rechts auf Zugang, des Rechts auf Widerspruch usw., in geeigneter Weise einschränken. (Artikel 15, 16, 18 oder 21 des GDPR) oder die Anwendung allgemeiner GDPR-Grundsätze (Artikel 5 des GDPR), wenn der für die Verarbeitung Verantwortliche personenbezogene Daten für Archivierungszwecke, wissenschaftliche und historische Forschung verarbeitet.
Ist die Verarbeitung für die Zwecke der wissenschaftlichen Forschung erforderlich und würde die Bereitstellung von Informationen zu einem unverhältnismäßigen Aufwand führen, so darf der Kontrolleur das Zugangsrecht (Artikel 15 des GDPR) und die allgemeinen Grundsätze des GDPR (Artikel 5 des GDPR) nicht anwenden.