DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten
Wissen Sie, welche allgemeinen Grundsätze für die Verarbeitung von personenbezogenen Daten mit Einführung der Datenschutz-Grundverordnung (DSGVO) zu beachten sind? Wenn nicht, sollten Sie diesen Fachbeitrag lesen. Denn die Einhaltung dieser Grundsätze müssen Sie womöglich nächstes Jahr nachweisen können. allgemeine Grundsätze für die Datenverarbeitung fest?
Die DSGVO sieht in Art. 5 Abs. 1 DSGVO eine Vielzahl von allgemeinen Grundsätzen vor, die in diesem Artikel näher beschrieben werden. Die allgemeinen Grundsätze nach Art. 5 Abs. 1 DSGVO stellen dabei so etwas wie die „Grundregeln“ für die Verarbeitung von personenbezogenen Daten dar und helfen insbesondere bei der Auslegung von Regelungen der DSGVO.
Diese Grundsätze der Datenverarbeitung muss jeder Verantwortliche aber auch einhalten und dies nachweisen können (sog. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Hierfür eignet sich beispielsweise das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO.
Welche Grundsätze der Datenverarbeitung sind einzuhalten?
Es gelten folgende Grundsätze nach Art. 5 Abs. 1 DSGVO:
Rechtmäßigkeit der Verarbeitung
Die Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a) DSGVO wird grundsätzlich in Art. 6 DSGVO näher konkretisiert. Die Verarbeitung von personenbezogenen Daten ist demnach insbesondere rechtmäßig, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt, insbesondere eine Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a) i. V. m. Art. 7 f. DSGVO oder eine Rechtsgrundlage nach Art. 6 Abs. 1 lit. b) DSGVO.
Dementsprechend hält auch Erwägungsgrund 40 zur Rechtmäßigkeit der Datenverarbeitung fest:
Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden (…)
Verarbeitung nach Treu und Glauben
Die Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a) DSGVO ist rechtlich schwerer zu fassen und lässt sich im Allgemeinen nur am konkreten Einzelfall unter Berücksichtigung aller Umstände beurteilen. Meist geht es um die Frage, ob ein bestimmtes Verhalten als redlich bzw. anständig angesehen werden kann. Dieser Grundsatz der Datenschutz-Grundverordnung wird im Laufe der Zeit mit Leben gefüllt werden, indem dieser Grundsatz durch Fallgruppen konkretisiert werden wird.
Transparenz
Der Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a) DSGVO soll insbesondere gewährleisten, dass die betroffenen Personen im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.
In Art. 12 ff. DSGVO wird der Grundsatz der Transparenz etwa durch Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person weiter präzisiert. Auch der Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sollen Transparenz ebenfalls gewährleisten (vgl. Art. 25 DSGVO, Erwägungsgrund 78).Hinzu kommen Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen sollen (vgl. Art. 42 f. DSGVO, Erwägungsgrund 100).
In Erwägungsgrund 39 heißt es hierzu:
(…) Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können (…)
Zweckbindung
Der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO ist im Wesentlichen bereits bekannt.
Die Zwecke der Datenverarbeitung müssen dabei bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein. Eine Weiterverarbeitung zu anderen Zwecken ist gleichwohl möglich, sofern die Zwecke der Weiterverarbeitung nicht mit den ursprünglichen Erhebungszwecken unvereinbar sind und eine Rechtsgrundlage hierfür vorliegt.
Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden (= Grundsatz der Datenminimierung). Die Vorschrift ähnelt damit dem bisher bestehenden Grundsatz der Datenvermeidung und der Datensparsamkeit nach § 3a BDSG.
Richtigkeit der Datenverarbeitung
Interessant ist auch der Grundsatz, wonach personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht (vgl. etwa Art. 17 Abs. 1 lit. d) DSGVO) oder berichtigt (Art. 16 DSGVO) werden.
Speicherbegrenzung
Mit der normierten Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur solange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck also nicht mehr erforderlich ist, so müssen die personenbezogenen Daten gelöscht (Art. 17 Abs. 1 lit. a) DSGVO) oder die Identifizierung der betroffenen Person aufgehoben werden. Ausnahmen ergeben sich für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke (Art. 5 Abs. 1 lit. e) 2. Hs. DSGVO).
Integrität und Vertraulichkeit
Schließlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen, die insbesondere in Art. 32 DSGVO konkretisiert werden.
Drohen Konsequenzen bei einem Verstoß gegen die Grundsätze?
Ja. Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten können ein Bußgeld von bis zu 20.000.000 € oder –im Falle eines Unternehmens– von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sowie Maßnahmen der Aufsichtsbehörde nach sich ziehen (Art. 83 Abs. 5 lit. a) DSGVO).