Grundsätze der Verarbeitung (Art 5 DSGVO)

 
Art 5 (1) Personenbezogene Daten müssen 
a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person 
nachvollziehbaren Weise verarbeitet werden (“Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz”); 
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken 
nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse 
liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt 
gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (“Zweckbindung”); 
c) dem Zweck angemessen und erbeblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt 
sein (“Datenminimierung”); 
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen 
zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, 
unverzüglich gelöscht oder berichtigt werden (“Richtigkeit”); 
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, 
wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger 
gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer 
und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen 
Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für 
wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 
verarbeitet werden (“Speicherbegrenzung”); 
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, 
einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, 
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische 
Maßnahmen (“Integrität und Vertraulichkeit”); 
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung 
nachweisen können (“Rechenschaftspflicht”)

Artikel 5 DSGVO normiert die allgemeinen Grundsätze für die Verarbeitung von personenbezogenen Daten. Diese Grundsätze werden in zahlreichen Vorschriften der DSGVO aufgegriffen und konkretisiert. Verstöße gegen diese Grundsätze werden mit Maßnahmen der Datenschutzbehörde bzw. mit Bußgelder geahndet, bedeuten aber nicht automatisch die Rechtswidrigkeit der Verarbeitung.

Folgende Grundsätze sind iSd Art 5 DSGVO bei der Datenverarbeitung von personenbezogenen Daten einzuhalten:

  1. Rechtmäßigkeit, Transparenz & Verarbeitung nach Treu und Glaubne
  2. Zweckbindung
  3. Datenminimierung
  4. Richtigkeit
  5. Speicherbegrenzung
  6. Integrität und Vertraulichkeit

 

1. Rechtmäßigkeit, Transparenz & Verarbeitung nach Treu und Glauben

In der englischen Originalfassung der GDPR (General Data Protection Regulation) ist dieser Grundsatz mit “lawfully” und “fairly” beschrieben. Rechtmäßigkeit bedeutet in diesem Zusammenhang, dass für die betreffende Verarbeitung eine ausreichende Rechtsgrundlage im Unionsrecht oder im unionsrechtlich zulässigen nationalen Recht existiert (vgl. Art 6 DSGVO). Das Datenschutzrecht verfolgt ein sog. Verbotsprinzip mit Erlaubnisvorbehalt. Wenn also keine der sechs Alternativen des Art 6 gegeben ist, ist die Datenverarbeitung nicht rechtmäßig und demnach nicht zulässig.

Die betroffene Person muss in der Lage sein, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert werden.

Beispiel: Der Interessent muss bereits bei Ausfüllen einer Gewinnkarte informiert werden, was mit den freiwillig angegebenen Daten passiert. Werden beispielsweise die personenbezogenen Daten nach Verlosung des angepriesenen Gewinns auch in der Kundendatenbank des Unternehmens gespeichert und für künftige Werbezusendungen verwendet, ist dies bereits bei Erhebung der Daten auszuweisen und vom Kunden zu akzeptieren.

Es sollen somit heimliche Verarbeitungen des Verantwortlichen ausgeschlossen werden. Die betroffenen Personen sollen dadurch umfassend über die künftigen Verarbeitungen informiert werden.

 

2. Zweckbindung

Der Zweckbindungs-Grundsatz ist Kernbestandteil des Datenschutzrechts. Der Grundgedanke besteht darin, dass schon bei Erhebung von personenbezogenen Daten der Zweck festgelegt werden muss, zu dem die Daten erhoben und verarbeitet werden sollen. Der Zweck bestimmt beispielsweise welche Daten verarbeitet und wie lange sie gespeichert werden dürfen. Er begrenzt somit die Verarbeitungsmöglichkeiten auf einen legitimen und auch für die betroffene Person überschaubaren und für die Aufsichtsbehören überprüfbaren Umfang.

Nachträgliche Zweckänderungen sind unter Umständen in eingeschränktem Ausmaß erlaubt. –> arg: Weiterverarbeitung –> Vgl. Informationspflichten iSd Art 13 Abs 3 und Art 14 Abs 4 vs. Art.-29-Datenschutzgruppe WP 203, 21.

 

3. Datenminimierung

Bei der Datenminimierung geht es darum, die personenbezogenen Daten “angemessen” und “erheblich” sein müssen, sowie “auf das notwendige Maß beschränkt” werden. Diese Merkmal sind in der Praxis kaum trennscharf zu definieren. Dem Zweck angemessen sind die Daten immer dann, wenn sie überhaupt einen Bezug zum Verarbeitungszweck haben. Erheblich sind sie dann, wenn ihre Verarbeitung geeignet ist, den festgelegten Zweck zu fördern. Auf das notwendige Maß beschränkt bedeutet insbes., dass die Daten nicht verarbeitet werden dürfen, wenn der Verarbeitungszweck auch ohne sie erreicht werden kann.

 

 

4. Richtigkeit

Sachlich richtig ist ein objektives Kriterium und bedeutet ,dass die über die betroffene Person gespeicherten Informationen mit der Realität übereinstimmen müssen. Die Richtigkeit muss im Hinblick auf die abgezielten Zwecke der Verarbeitung gegeben sein. Werden die Daten nur in aggregierter Form verarbeitet, mag es für das Ergebnis unerheblich sein, ob ein bestimmtes Datum exakt richtig ist.

Beispiel: Wird das Alter der betroffenen Personen in 5-Jahres-Schritten angegeben, ist es unerheblich, ob die Person 26 oder 27 Jahre alt ist.

Zu beachten ist allerdigns, dass in Art 5 Abs 1 die Pflicht zur Löschung oder Berichtigung unrichtiger Daten normiert ist. Vgl. Art 17 Abs 1 lit d.

 

5. Speicherbegrenzung

Die Identifizierung einer betroffenen Person darf nur solange möglich sein, als dies für die Verarbeitungszwecke notwendig und erforderlich ist. Sobald die Daten für die Zwecke der Verarbeitung nicht mehr benötgit werden, sind sie zu löschen. Die Daten müssen entweder gelöscht oder der Bezug zur betroffenen Person aufgehoben werden. Eine Ientifizierung der betroffenen Person darf somit nicht mehr möglich sein. Eine Ausnahme normiert der HS2, womit eine Weiterverarbeitung erlaubt ist, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke.

 

6. Integrität und Vertraulichkeit

Um vor bestimmten Risiken zu schützen, müssen geeignete organisatorische und technische Maßnahmen eingesetzt werden. Dabei ist einerseits eine unbefugte oder unrechtmäßige Verarbeitung und andererseits ein unbeabsichtigter Verlust oder eine unbeabsichtigte Zerstörung oder eine unbeabsichtigte Schädigung zu vermeiden. Eine unbefugte oder unrechtmäßige Verarbeitung liegt beispielsweise dann vor, wenn für die Verarbeitung keine Rechtsgrundlage iSd Art 6 existiert oder die Daten durch eine Person gespeichert werden, die nicht dem Verantwortlichen zuzurechnen ist. Hingegen ist unbeabsichtigter Verlust, Zerstörung oder Schädigung das Abhandenkommen oder eine willkürliche Änderung der Daten, sodass sie nicht mehr oder nur mehr eingeschränkt für den vorgesehenen Zweck verarbeitet werden können.

Entsprechende Schutzmaßnahmen werden in At 32 DSGVO konkretisiert.

Gem Art 5 Abs 2 ist immer der Verantwortliche für die Einhaltung der Grundsätze iSd Abs 1 verantwortlich und muss dessen Einhaltung auch jederzeit nachweisen können (–> Rechenschaftspflicht).