In Art. 5 Abs. 1 lit. a bis f DSGVO werden die wesentlichen Grundsätze der Verarbeitung personenbezogener Daten nach der Datenschutzgrundverordnung (DSGVO) ausführlich erläutert und jeweils mit einer schlagwortartigen Bezeichnung versehen. So heißen diese Grundsätze
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit.
Diese Grundsätze wurden nicht einfach als Ausdruck guter Absichten in die DSGVO aufgenommen, sondern liegen jeder Prüfung von Verarbeitung personenbezogener Daten als Maßstab zugrunde. Der Verantwortliche hat diese Grundsätze zwingend einzuhalten und umzusetzen. Verantwortlicher ist dabei, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Die einzelnen Grundsätze kommen darüber hinaus in den nachfolgenden Regelungen der DSGVO an unterschiedlichen Stellen zum Ausdruck, so dass sie für das Verständnis der weiteren gesetzlichen Regelungen hilfreich sein können.
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Der Grundsatz der Rechtmäßigkeit versteht sich von selbst, da eine rechtswidrige Datenverarbeitung verboten ist. Hiermit wurde nun aber noch ein Fairnessgebot (Verarbeitung nach Treu und Glauben) verknüpft. Das Fairnessgebot ist das doppelte Netz: Eine an sich zulässige Datenverarbeitung kann im Einzelfall dennoch rechtswidrig sein, wenn sie dem Fairnessgebot nicht entspricht. Das Transparenzgebot spiegelt sich in den Art. 12, 13, 14 DSGVO über die Informationspflichten des Verantwortlichen wider.
2. Zweckbindung
Das Zweckbindungsgebot dürfte eines der wichtigsten Grundsätze der Datenverarbeitung sein und hat im Kern zwei Ausprägungen: Zum einen dürfen personenbezogene Daten ausschließlich für festgelegte, eindeutige und legitime Zwecke erhoben werden und zum anderen dürfen erhobene personenbezogene Daten nicht in einer Weise weiterverarbeitet werden, die mit dem Erhebungszweck unvereinbar ist. Der Verantwortliche muss die Zwecke bereits vor der Datenverarbeitung festlegen, den Betroffenen hierüber informieren und stetig prüfen, ob die Datenverarbeitung mit den Zwecken vereinbar ist.
3. Datenminimierung
Früher als Datensparsamkeit bezeichnet, sieht dieser Grundsatz vor, dass die erhobenen Daten für ihren Verarbeitungszweck angemessen und erheblich sein, sowie sich auf das notwendige Maß beschränken müssen. Es gilt also: „So viel wie nötig, so wenig wie möglich.“ Die erhobenen Daten müssen für den jeweils vorgesehenen Zweck geeignet und die Datenverarbeitung für den Zweck angebracht sein. Darüber hinaus erfasst der Grundsatz, aber auch die Art und Weise der Datenverarbeitung, wie z.B. auch die Zahl der Verarbeitungsvorgänge etc.
4. Richtigkeit
Die zu verarbeitende Daten müssen richtig und aktuell sein; unrichtige Daten dürfen nicht verarbeitet werden. Unrichtige Daten sind auch zu löschen oder zu berichtigen. Faktisch steht dem Betroffenen daher ein Recht auf Berichtigung gem. Art. 16 DSGVO und ein Recht auf Löschung gem. Art. 17 DSGVO gegen den Verantwortlichen zu.
5. Speicherbegrenzung
In zeitlicher Hinsicht werden die Grundsätze der Zweckbindung und der Datenminimierung durch die Speicherbegrenzung komplettiert. Die Identifizierung einer Person soll nur so lange möglich sein, wie es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist. Der Verantwortliche hat die Daten in regelmäßigen Abständen zu prüfen. Ist einer Speicherung nicht mehr erforderlich, hat er die Daten zu löschen, einen Datenträger zu zerstören oder die Daten durch Anonymisierung unkenntlich zu machen, damit die Person nicht mehr identifiziert werden kann.
6. Integrität und Vertraulichkeit
Der Verantwortliche hat die geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, damit die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung geschützt werden und sie nicht unbeabsichtigt verloren gehen, zerstört oder geschädigt werden. Die vom Verantwortlichen zu ergreifenden Maßnahmen sind in Art. 25 DSGVO (Technikgestaltung) und in Art. 32 DSGVO (Sicherheit der Verarbeitung) im Wesentlichen geregelt. Hierzu gehören beispielsweise Maßnahmen der IT-Sicherheit, aber auch Zutritts- oder Zugriffskontrollen, etc.
Schließlich sieht Art. 5 Abs. 2 DSGVO ausdrücklich vor, dass der Verantwortliche, der die perso-nenbezogenen Daten verarbeitet, für die Einhaltung dieser Grundsätze verantwortlich ist und deren Einhaltung nachweisen können muss (Rechenschaftspflicht). Dies zeigt, dass diese Grunds-ätze zwar abstrakt in der DSGVO stehen, aber vom Verantwortlichen in der Praxis umgesetzt und beachtet werden müssen. Prüft man die eigene Datenverarbeitung, sollte man also diese Grundsätze immer im Hinterkopf behalten, denn sie können Aufschluss geben, ob der eigene Umgang mit personenbezogenen Daten rechtmäßig ist.
