Geschrieben am 07.08.2017 von:
Vielen Unternehmen ist mittlerweile bewusst, dass bei der Verarbeitung personenbezogener Daten der sogenannte Grundsatz des Verbots mit Erlaubnisvorbehalt beachtet werden muss. Darüber hinaus müssen ab Mai 2018 noch weitere übergeordnete Grundsätze der Datenverarbeitung befolgt werden, mit denen man sich auseinandersetzen muss. Die Grundsätze finden sich gebündelt in Art. 5 DS-GVO. Verstöße hiergegen können mit empfindlichen Geldbußen geahndet werden.
Rechtmäßigkeit der Datenverarbeitung
Das Verbot mit Erlaubnisvorbehalt ist schon im Bundesdatenschutzgesetz (BDSG) ausdrücklich verankert. So dürfen nach § 4 Abs. 1 BDSG personenbezogene Daten nur erhoben, verarbeitet oder genutzt werden, wenn die betroffene Person darin eingewilligt hat oder eine gesetzliche Vorschrift dies erlaubt.
Der neue Grundsatz der Rechtmäßigkeit der Datenverarbeitung beinhaltet das Verbot mit Erlaubnisvorbehalt. Er ist in Art. 5 Abs. 1 a) DS-GVO erwähnt und wird in Art. 6 DS-GVO näher konkretisiert.
Treu und Glauben sowie Transparenz
Darüber hinaus gibt es den neuen Grundsatz der Verarbeitung nach Treu und Glauben in Art. 5 Abs. 1 a) DS-GVO. Dieser ist nur schwer greifbar, meint aber, dass unredliches oder unanständiges Verhalten unterlassen werden soll. Es wird wohl eine Weile dauern, bis sich hierzu in der Rechtsprechung verschiedene Fallgruppen entwickelt haben.
Schließlich wird durch Art. 5 Abs. 1 a) DS-GVO auch noch der Grundsatz der Transparenz vorgegeben, welcher in Art. 12 ff. DS-GVO noch einmal näher erläutert wird. Im Kern geht es beim Grundsatz der Transparenz darum, dass die Betroffenen ihre Rechte und insbesondere das Recht auf informationelle Selbstbestimmung wahrnehmen können.
Außerdem soll die Transparenz nach Art. 25 DS-GVO durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) gewährleistet werden. Die Art. 42 ff. DS-GVO sehen hierfür verschiedene Zertifizierungsverfahren vor. Durch Angabe bestimmter Prüfzeichen soll ein bestimmtes Datenschutzniveau nachgewiesen werden können und die Transparenz so zusätzlich gesteigert werden.
Zweckbindung und Datenminimierung
Nach Art. 5 Abs. 1 b) DS-GVO muss die Datenverarbeitung immer zweckgebunden erfolgen. Die jeweiligen Zwecke müssen bereits vor der erstmaligen Datenerhebung eindeutig festgelegt und auch legitim sein. Bei Vorliegen einer einschlägigen Ermächtigungsgrundlage ist diese Anforderung automatisch erfüllt.
Der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 c) DS-GVO besagt, dass grundsätzlich nur so viele Daten erhoben werden dürfen, wie dies für den angestrebten Zweck notwendig ist. Auch an dieser Stelle greifen die verschiedenen Grundsätze also ineinander.
Weitere Grundsätze
Personenbezogene Daten dürfen außerdem nach Art. 5 Abs. 1 d) DS-GVO nur so lange gespeichert werden, wie es für den angestrebten Zweck notwendig ist.
Schließlich dürfen nach Art. 5 Abs. 1 d) DS-GVO nur solche Daten gespeichert werden, die richtig sind. Flankierend hierzu besteht nach Art. 16 DS-GVO das Recht auf Berichtigung und nach Art. 17 DS-GVO das Recht auf Löschung.
Einhaltung muss nachgewiesen werden
Weiterhin müssen sämtliche Datenverarbeitungsvorgänge in einer Weise vorgenommen werden, die die Sicherheit der personenbezogenen Daten nicht gefährdet. So sollen Integrität und Vertraulichkeit der Daten gewährleistet werden.
Zusammenfassend gibt es die folgenden Grundsätze:
- Rechtsmäßigkeit der Verarbeitung
- Verarbeitung nach Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Damit diese Grundsätze auch tatsächlich angewendet werden, besteht nach Art. 5 Abs. 2 DS-GVO auch eine Rechenschaftspflicht der für die Datenverarbeitung verantwortlichen Stelle. Werden die Grundsätze der Datenverarbeitung nicht eingehalten, drohen nach Art. 83 Abs. 5 a) DS-GVO hohe Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes.