Regelungsgrundsätze der DSGVO – welche gibt es?

Eine Zusammenfassung der wichtigen Grundsätze

10.07.2019

Einer der zentralen Grundsätze der DSGVO sieht vor, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn diese Verarbeitung rechtmäßig erfolgt, sie also auf eine vorhandene und einschlägige Rechtsgrundlage gestützt werden kann. Juristen sprechen hier von einem „Verbot mit Erlaubnisvorbehalt“ oder auch einem „Rechtmäßigkeitsgrundsatz“.

Plant ein Verantwortlicher  eine Verarbeitung personenbezogener Daten, dann lautet die für ihn entscheidende Frage nicht, ob diese Form der Verarbeitung in der DSGVO irgendwo verboten ist, sondern er muss vielmehr einen konkreten Erlaubnistatbestand in der DSGVO oder in anderen Gesetzen zum Datenschutz finden, der diese konkrete geplante Verarbeitung erlaubt.

Themenreihe zur Rechtmäßigkeit der Datenverarbeitung

Aufgrund der Relevanz, die diesem Thema zukommt, haben wir uns entschieden, dem Thema Rechtmäßigkeit der Datenverarbeitung eine ganze Themenreihe zu widmen. Dieser Artikel startet zunächst mit allgemeinen Grundsätzen, die sich für den Verantwortlichen aus der DSGVO hinsichtlich der Verarbeitung personenbezogener Daten ergeben. Diese finden sich in Art. 5 DSGVO. In den folgenden Newslettern werden wir dann in einem gesonderten Artikel jeweils einen Erlaubnistatbestand genauer unter die Lupe nehmen.  

Weitere Grundsätze für die Verarbeitung personenbezogener Daten

Oft wird übersehen, dass allein das Vorliegen einer Rechtsgrundlage nicht ausreichend ist, um einer Verarbeitung die Rechtskonformität zu bescheinigen. Denn der Rechtsmäßigkeitsgrundsatz ist nicht der einzige Grundsatz der DSGVO, der zu beachten wäre. Er ist einer der zahlreichen Grundsätze, deren Einhaltung die DSGVO in Art. 5 Abs. 1 fordert.

Gerade weil die anderen Grundsätze in der Praxis häufig nicht mit der notwendigen Sorgfalt beachten werden, möchten wir diese Grundsätze im Folgenden erläutern. Welche Grundsätze sieht der Verordnungsgeber vor?

Wie bereits erwähnt, bestimmt Art. 5 Abs. 1 DSGVO, dass bei der Verarbeitung personenbezogener Daten folgende Grundsätze zu beachten sind:

  1. Rechtmäßigkeitsgrundsatz,
  2. Grundsatz der Verarbeitung nach Treu und Glauben,
  3. Transparenzgrundsatz,
  4. Zweckbindungsgrundsatz,
  5. Datenminimierungsgrundsatz,
  6. Richtigkeitsgrundsatz,
  7. Grundsatz der Speicherbegrenzung,
  8. Grundsatz der Integrität und der Vertraulichkeit.

Was „versteckt“ sich jedoch hinter diesen Grundsätzen konkret?

Rechtmäßigkeitsgrundsatz

Schlagwortartig kann hier gesagt werden: Keine Verarbeitung ohne Rechtsgrundlage. Das Erfordernis einer Rechtsgrundlage ergibt sich dabei nicht nur aus Art. 5 Abs. 1 lit a DSGVO, sondern vor allem auf der Grundrechtsebene bereits aus Art. 8 Abs. 2 S. 1 der Charta der Grundrechte der Europäischen Union (GRCh). Eine Rechtsgrundlage kann sich sowohl aus dem Unions- als auch aus dem mitgliedstaatlichen Recht ergeben.

Die bekannteste und die wichtigste Regelung dürfte Art. 6 Abs. 1 lit. a bis f DSGVO sein. Hier wird als Rechtsgrundlage die Einwilligung einer betroffenen Person (lit. a), Durchführung eines Vertrages (lit. b), Rechtliche Verpflichtung (lit. c), Schutz lebenswichtiger Interessen (lit. d), Aufgabenerfüllung (lit. e), Wahrung der Berechtigten Interessen des Verantwortlichen (lit. f) als ein Erlaubnistatbestand jeweils aufgeführt.

Daneben gibt es weitere Zulässigkeitstatbestände wie diejenigen des Art. 9 Abs. 2 DSGVO für besondere Kategorien personenbezogener Daten oder die Regelungen im Bereich des Beschäftigtendatenschutzes (§ 26 BDSG).

Grundsatz der Verarbeitung nach Treu und Glauben

Der Grundsatz der Verarbeitung nach Treu und Glauben ist als Begriff schwer zu fassen und nicht klar definiert. Helfen kann bei der Begriffsbestimmung vor allem die englische Fassung der Verordnung, denn dort wird der Grundsatz von Treu und Glauben als „Fairness“ bezeichnet. Eine „faire“ Verarbeitung ist gegeben, wenn sie mit Wissen der betroffenen Person, somit offen und nicht heimlich, erfolgt und der „vernünftigen Erwartungshaltung“ der betroffenen Person entspricht (vgl. Erwägungsgrund 47. S. 1 zur DSGVO). Als praktischer Anwendungsfall kann die verdeckte, unverhältnismäßige Videoüberwachung, die gegen den Grundsatz von Treu und Glauben verstoßen würde genannt werden, weil diese nicht der „vernünftigen Erwartungshaltung“ der betroffenen Person entsprechen würde. 

Transparenzgrundsatz

Die Verarbeitung personenbezogener Daten muss transparent, d.h. für die betroffene Person nachvollziehbar sein. Die inhaltlichen Anforderungen an die nachvollziehbare Ausgestaltung der Art und Weise der Verarbeitung ergeben sich aus den Informationspflichten aus Artt. 12, 13 und 14 DSGVO. Hier ist in erster Linie an die (korrekte und vollständige) „Datenschutzerklärung“ auf der Internetseite zu denken.

Zweckbindungsgrundsatz

Daten dürfen ausschließlich für denjenigen Zweck erhoben und anschließend verarbeitet werden, der im Vorfeld festgelegt wurde – die sogenannte Erstverarbeitung. Eine Zweckänderung ist nur innerhalb der engen Grenzen des Art. 6 Abs. 4 DSGVO möglich. Reine Neugier ist als Verarbeitungszweck dabei nicht ausreichend, denn es muss sich um einen legitimen und nachvollziehbaren Zweck handeln.

Datenminimierungsgrundsatz

Die personenbezogenen Daten müssen bei der Verarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das Erfordernis der Erheblichkeit ist dabei so zu interpretieren, dass keine Daten erhoben werden dürfen, die zur Zweckerreichung nicht oder nicht mehr in geeigneter Weise beitragen können. In der Praxis müssen die Verarbeitungsprozesse so eingerichtet werden, dass nur erforderliche und erhebliche Daten verarbeitet werden und keine „Vorratsdatenspeicherung“ betrieben wird.

Richtigkeitsgrundsatz

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden sollen. Hierzu haben Verantwortliche angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Bei der Auswahl der angemessenen Maßnahmen hat der Verantwortliche die potenziellen Folgen und Risiken, die mit der Verarbeitung unrichtiger Daten verbunden sein könnten, zu berücksichtigen.

Grundsatz der Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung erweitert die Grundsätze der Zweckbindung und der Datenminimierung um die zeitliche Komponente. Die Höchstdauer der Speicherung wird durch die Zweckerreichung begrenzt. Für die Praxis bedeutet das insbesondere, dass ein Löschkonzept, das Löschfristen festlegt, zu entwickeln und umzusetzen wäre.

Grundsatz der Integrität und der Vertraulichkeit

Die personenbezogenen Daten müssen in einer Weise verarbeitet werden, die ihre angemessene Sicherheit gewährleistet. Nach der Begriffsdefinition im Online-Glossar des Bundesamtes für Sicherheit in der Informationstechnik sind darunter „die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen“ zu verstehen. Die Vertraulichkeit der Verarbeitung bedeutet den Schutz vor unbefugter Preisgabe von Informationen, so dass vertrauliche Daten und Informationen nur für Befugte zugänglich sein sollen. Die durch den Verantwortlichen zu treffenden Maßnahmen werden unter anderem in Art. 32 DSGVO (Sicherheit der Verarbeitung durch Sicherstellung der geeigneten technischen und organisatorischen Maßnahmen) konkretisiert. 

Sie möchten gerne überprüfen, inwiefern in Ihrem Unternehmen die Grundsätze der DSGVO eingehalten werden? Sprechen Sie uns an und vereinbaren Sie einen Audit-Termin!