grundsätze der verarbeitung

Regelungsgrundsätze der DSGVO – welche gibt es?

Einer der zentralen Grundsätze der DSGVO sieht vor, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn diese Verarbeitung rechtmäßig erfolgt, sie also auf eine vorhandene und einschlägige Rechtsgrundlage gestützt werden kann. Juristen sprechen hier von einem „Verbot mit Erlaubnisvorbehalt“ oder auch einem „Rechtmäßigkeitsgrundsatz“.

Plant ein Verantwortlicher eine Verarbeitung personenbezogener Daten, dann lautet die für ihn entscheidende Frage nicht, ob diese Form der Verarbeitung in der DSGVO irgendwo verboten ist, sondern er muss vielmehr einen konkreten Erlaubnistatbestand in der DSGVO oder in anderen Gesetzen finden, der diese konkrete geplante Verarbeitung erlaubt.

Themenreihe zur Rechtmäßigkeit der Datenverarbeitung

Aufgrund der Relevanz, die diesem Thema zukommt, haben wir uns entschieden, dem Thema Rechtmäßigkeit der Datenverarbeitung eine ganze Themenreihe zu widmen. Dieser Artikel startet zunächst mit allgemeinen Grundsätzen, die sich für den Verantwortlichen aus der DSGVO hinsichtlich der Verarbeitung personenbezogener Daten ergeben. Diese finden sich in Art. 5 DSGVO. In den folgenden Newslettern werden wir dann in einem gesonderten Artikel jeweils einen Erlaubnistatbestand (kleiner Spoiler: diese finden sich alle in Art. 6 DSGVO) genauer unter die Lupe nehmen.  

Weitere Grundsätze für die Verarbeitung personenbezogener Daten

Oft wird übersehen, dass allein das Vorliegen einer Rechtsgrundlage nicht ausreichend ist, um einer Verarbeitung die Rechtskonformität zu bescheinigen. Denn der Rechtsmäßigkeitsgrundsatz ist nicht der einzige Grundsatz der DSGVO, der zu beachten wäre. Er ist einer der zahlreichen Grundsätze, deren Einhaltung die DSGVO in Art. 5 Abs. 1 fordert.

Gerade weil die anderen Grundsätze in der Praxis häufig nicht mit der notwendigen Sorgfalt beachten werden, möchten wir diese Grundsätze im Folgenden erläutern. Welche Grundsätze sieht der Verordnungsgeber vor?

Wie bereits erwähnt, bestimmt Art. 5 Abs. 1 DSGVO, dass bei der Verarbeitung personenbezogener Daten folgende Grundsätze zu beachten sind:

  1. Rechtmäßigkeit,
  2. Verarbeitung nach Treu und Glauben,
  3. Transparenz,
  4. Zweckbindung,
  5. Datenminimierung,
  6. Richtigkeit,
  7. Speicherbegrenzung,
  8. Integrität und der Vertraulichkeit.

Was „versteckt“ sich jedoch hinter diesen Grundsätzen konkret?

Rechtmäßigkeit

Schlagwortartig kann hier gesagt werden: Keine Verarbeitung ohne Rechtsgrundlage. Das Erfordernis einer Rechtsgrundlage ergibt sich dabei nicht nur aus Art. 5 Abs. 1 lit a DSGVO, sondern vor allem auf der Grundrechtsebene bereits aus Art. 8 Abs. 2 S. 1 der Charta der Grundrechte der Europäischen Union (GRCh). Eine Rechtsgrundlage kann sich sowohl aus dem Unions- als auch aus dem mitgliedstaatlichen Recht ergeben.

Die bekannteste und die wichtigste Regelung dürfte Art. 6 Abs. 1 lit. a bis f DSGVO sein. Hier werden als Rechtsgrundlagen die Einwilligung einer betroffenen Person (lit. a), Durchführung eines Vertrages (lit. b), Rechtliche Verpflichtung des Verantwortlichen (lit. c), Schutz lebenswichtiger Interessen der betroffenen Person (lit. d), Erfüllung öffentlicher oder hoheitlicher Aufgaben (lit. e), Wahrung der Berechtigten Interessen des Verantwortlichen oder eines Dritten (lit. f) als mögliche Erlaubnistatbestände aufgeführt.

Daneben gibt es weitere Zulässigkeitstatbestände wie diejenigen des Art. 9 Abs. 2 DSGVO für besondere Kategorien personenbezogener Daten oder die Regelungen im Bereich des Beschäftigtendatenschutzes (§ 26 BDSG) und bis zur Entscheidung der Nichtanwendbarkeit durch das Bundesverwaltungsgericht auch der § 4 BDSG zur Videoüberwachung.

Verarbeitung nach Treu und Glauben

Der Grundsatz der Verarbeitung nach Treu und Glauben ist als Begriff schwer zu fassen und nicht klar definiert. Helfen kann bei der Begriffsbestimmung vor allem die englische Fassung der Verordnung, denn dort wird der Grundsatz von Treu und Glauben als „Fairness“ bezeichnet. Eine „faire“ Verarbeitung ist gegeben, wenn sie mit Wissen der betroffenen Person, somit offen und nicht heimlich, erfolgt und der „vernünftigen Erwartungshaltung“ der betroffenen Person entspricht (vgl. Erwägungsgrund 47. S. 1 zur DSGVO). Als praktischer Anwendungsfall kann die verdeckte, unverhältnismäßige Videoüberwachung, die gegen den Grundsatz von Treu und Glauben verstoßen würde, genannt werden, weil diese nicht der „vernünftigen Erwartungshaltung“ der betroffenen Person entsprechen würde. 

Transparenz

Die Verarbeitung personenbezogener Daten muss transparent, d.h. für die betroffene Person nachvollziehbar sein. Die inhaltlichen Anforderungen an die nachvollziehbare Ausgestaltung der Art und Weise der Verarbeitung ergeben sich aus den Informationspflichten aus Artt. 1213 und 14 DSGVO. Hier ist beispielsweise an die (korrekte und vollständige) „Datenschutzerklärung“ auf der Internetseite zu denken.

Zweckbindung

Daten dürfen ausschließlich für denjenigen Zweck erhoben und anschließend verarbeitet werden, der im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) festgelegt wurde – die sogenannte Erstverarbeitung. Eine Zweckänderung ist nur innerhalb der engen Grenzen des Art. 6 Abs. 4 DSGVO möglich. Reine Neugier ist als Verarbeitungszweck dabei nicht ausreichend, es muss sich um einen legitimen und nachvollziehbaren Zweck handeln.

Datenminimierung

Die personenbezogenen Daten müssen bei der Verarbeitung dem Zweck angemessen und für die Verarbeitung erheblich sein. Darüber müssen sie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das Erfordernis der Erheblichkeit ist dabei so zu interpretieren, dass keine Daten erhoben werden dürfen, die zur Zweckerreichung nicht oder nicht mehr in geeigneter Weise beitragen können. In der Praxis müssen die Verarbeitungsprozesse so eingerichtet werden, dass nur erforderliche und erhebliche Daten verarbeitet werden und keine „Vorratsdatenspeicherung“ betrieben wird.

Richtigkeit

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden. Hierzu haben Verantwortliche angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Bei der Auswahl der angemessenen Maßnahmen hat der Verantwortliche die potenziellen Folgen und Risiken, die mit der Verarbeitung unrichtiger Daten verbunden sein könnten, zu berücksichtigen.

Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung erweitert die Grundsätze der Zweckbindung und der Datenminimierung um die zeitliche Komponente. Die Höchstdauer der Speicherung wird durch die Zweckerreichung begrenzt. Für die Praxis bedeutet das insbesondere, dass ein Löschkonzept, welches Löschfristen festlegt, zu entwickeln und umzusetzen wäre.

Integrität und der Vertraulichkeit

Die personenbezogenen Daten müssen in einer Weise verarbeitet werden, die ihre angemessene Sicherheit gewährleistet. Nach der Begriffsdefinition im Online-Glossar des Bundesamtes für Sicherheit in der Informationstechnik sind darunter „die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen“ zu verstehen. Die Vertraulichkeit der Verarbeitung bedeutet den Schutz vor unbefugter Preisgabe von Informationen, so dass vertrauliche Daten und Informationen nur für Befugte zugänglich sein sollen. Die durch den Verantwortlichen zu treffenden Maßnahmen werden unter anderem in Art. 32 DSGVO (Sicherheit der Verarbeitung durch Sicherstellung der geeigneten technischen und organisatorischen Maßnahmen) konkretisiert. 

Sie möchten gerne überprüfen, inwiefern in Ihrem Unternehmen die Grundsätze der DSGVO eingehalten werden? Sprechen Sie uns an und vereinbaren Sie einen Audit-Termin!


Diesen Beitrag teilen

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.