Die Verarbeitung personenbezogener Daten von natürlichen Personen darf nur stattfinden, wenn die Regelungen und Bedingungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Insbesondere müssen Verantwortliche die wichtigen Datenschutzgrundsätze für die Verarbeitung personenbezogener Daten erfüllen. Ein gutes Verständnis über die Datenschutzgrundsätze ist essenziell für die Umsetzung des Datenschutzes in der Praxis. Für den Datenschutzbeauftragten bilden sie außerdem die Basis seiner Fachkunde im Datenschutz und damit seiner Beratungsleistung in den verschiedenen Bereichen im Datenschutz.
Aufgrund dieser wichtigen Rolle, die die Grundsätze der Verarbeitung im Datenschutz einnehmen, klären wir Sie in diesem Beitrag über die Bedeutung von den einzelnen Datenschutzgrundsätzen auf.
Stellung der Datenschutzgrundsätze in der DSGVO
Die Grundsätze aus der Datenschutz-Grundverordnung nehmen eine zentrale Rolle im Datenschutz ein. Sie sind im Artikel 5 der DSGVO zu finden und werden auch als Grundregeln und Vorschriften für die Verarbeitung personenbezogener Daten bezeichnet. Die Grundsätze lassen sich zudem auf alle weiteren Vorschriften aus der Datenschutz Grundverordnung beziehen und helfen bei deren Auslegung und Verwendung in der Praxis. In den weiteren Artikeln und Erwägungsgründen der DSGVO werden die Datenschutzgrundsätze aus Artikel 5 teilweise noch konkretisiert – wie bei der der Transparenz, welcher durch die Informationspflichten in den Art. 13 und 14 verdeutlicht wird.
Datenschutzgrundsätze im Überblick
Welchen Grundsätzen unterliegt die DSGVO? Welche Grundsätze gelten bei der Verarbeitung von personenbezogenen Daten natürlicher Personen?
Verschaffen wir uns zuerst einen kurzen Überblick über die sieben wichtigsten Grundsätze des Datenschutzes, die in Artikel 5 Abs. 1 der DSGVO zu finden sind:
Im Folgenden schauen wir uns diese sieben wichtigen Datenschutzgrundsätze einzeln näher an.
1. Rechtmäßigkeit der Verarbeitung (Verarbeitung nach Treu und Glauben, Grundsatz der Transparenz)
Gemäß Art. 5 Abs. 1 Lit. a) DSGVO müssen personenbezogene Daten einer natürlichen Person "auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden". Was aber genau bedeutet dieses Grundprinzip im Datenschutz? Schauen wir uns die einzelnen Bestandteile einmal genauer an:
Rechtmäßige Weise der Verarbeitung
Im Datenschutz gilt allgemein ein „Verbot mit Erlaubnisvorbehalt“ für die Verarbeitung personenbezogener Daten von natürlichen Personen. Dieses Verbot mit Erlaubnisvorbehalt bedeutet, dass jegliche Verarbeitung (z. B. Erhebung oder Speicherung von Daten) grundsätzlich verboten ist und erst dann erlaubt wird, wenn die Verarbeitung rechtmäßig ist, also eine Rechtsgrundlage für diese Verarbeitung vorliegt.
Die Datenschutz-Grundverordnung regelt in Art. 6 die möglichen Rechtsgrundlagen, die für die Verarbeitung infrage kommen. So muss mind. eine der folgenden Voraussetzungen erfüllt sein, damit eine Rechtsgrundlage vorliegt und der Grundsatz der Rechtmäßigkeit der Verarbeitung eingehalten wird:
Verarbeitung nach Treu und Glauben
Der Begriff „nach Treu und Glauben“ wird zwar in der DSGVO und in anderen Gesetzestexten nicht näher definiert. Jedoch wird darunter verstanden, dass natürliche Personen, deren personenbezogene Daten verarbeitet werden, darauf vertrauen dürfen, dass zuständige Stellen ihre Daten gemäß der gesetzlichen Vorgaben der DSGVO verarbeiten und damit die Rechte und Freiheiten der Betroffenen gewährleisten. So darf sich ein Betroffener beispielsweise darauf verlassen, dass seine Daten, die zu einem bestimmten Zweck erhoben wurden, nicht an dritte Stellen weitergegeben werden – sofern der Betroffene im Vorfeld nicht darüber informiert wurde und dem zustimmte.
Verarbeitung in einer für den Betroffenen nachvollziehbare Weise
Im Sinne des Grundsatzes der Transparenz müssen personenbezogene Daten von Betroffenen in einer für diese betroffenen Personen nachvollziehbaren Art und Weise verarbeitet werden. In der Praxis bedeutet das, dass Betroffene transparent über jegliche Datenverarbeitungsvorgänge und alle damit verbundenen Informationen (Identität des Unternehmens, die Zwecke, die Speicherdauer, die evtl. Weitergabe der Daten an Dritte etc.) informiert werden muss. Die natürliche Person muss außerdem über diese Risiken für Rechte und Freiheiten informiert werden, die mit der Datenverarbeitung einhergehen (vgl. Erwägungsgrund 39 der DSGVO). Die transparenten Informationen über die Verarbeitungsvorgänge müssen gemäß Erwägungsgrund 58 präzise, einfach verständlich und leicht zugänglich sein.
Eins der vielen praktischen Beispiele für den Grundsatz der Transparenz ist die Datenschutzerklärung auf einer Webseite. Hierin soll der Webseitenbesucher, der in dem Fall als Betroffener gilt, transparent darüber aufgeklärt werden, welche Daten auf den Internetseiten von ihm erhoben werden und auf welche Art und Weise und zu welchen Zwecken diese durch den Webseitenbetreiber verarbeitet werden.
Der Grundsatz der Transparenz spiegelt sich neben den Informationspflichten aus den Art. 13 und 14 in weiteren Regelungen und Vorschriften der DSGVO wider. So haben die Betroffenen zudem ein Recht auf Auskunft / Auskunftsrecht über die Verarbeitung ihrer Daten (Art. 15 DSGVO), sowie ein Recht darauf, bei schwerwiegenden Datenschutzverstößen über die Gefahren für die personenbezogenen Daten benachrichtigt zu werden.
2. Zweckbindung der Verarbeitung von personenbezogenen Daten
Der Grundsatz der Zweckbindung im Datenschutz sagt aus, dass personenbezogene Daten nur für zuvor festgelegte, eindeutige und nachvollziehbare Zwecke verarbeitet werden dürfen. So dürfen etwa personenbezogene Daten eines Käufers im Onlineshop im Internet, die die natürliche Person zum Zweck des Kaufes über sich preisgibt, nur zur Erfüllung des Kaufvertrages verarbeitet werden – nicht aber zum Zwecke des Versands von einem Newsletter (z. B. mit News zu Produkten), in den die natürliche Person nicht eingewilligt hat. Liegt kein konkreter Zweck für die Verwendung und Weiterverarbeitung der personenbezogenen Daten vor, dürfen diese auch nicht verarbeitet werden.
3. Grundsatz der Datenminimierung
Der Grundsatz der Datenminimierung bzw. der Datensparsamkeit bedeutet im Sinne der DSGVO, dass personenbezogene Daten nur erhoben und weiterverarbeitet werden dürfen, wenn sie für den definierten Zweck wirklich erforderlich sind und auf das nötigste Maß beschränkt werden. Es sollen also so wenig personenbezogene Daten, wie nur möglich, für diesen Zweck verarbeitet werden.
Hierzu ein praktisches Beispiel:
Auf einer Webseite im Internet gibt es ein Kontaktformular, in das Besucher der Website seine Daten und persönlichen Angaben eintragen können, um z. B. konkrete Informationen zu einem Angebot zu erhalten. In dem Kontaktformular gibt es erforderliche und optionale Felder zum Ausfüllen. Im Sinne der Datenschutz Grundverordnung sollte hier immer nur ein Feld zur Kontaktaufnahme (also z. B. E-Mail-Adresse oder Telefonnummer) als Pflichtfeld eingestellt sein, da eine Kontaktmöglichkeit ausreicht, um die Anfrage des Webseitenbesuchers zu beantworten. Es müssen also nicht unnötigerweise mehr personenbezogene Daten verarbeitet werden, wenn dies für den festgelegten Zweck nicht erforderlich ist. Die Daten sollen hier auf das nötigste Maß beschränkt werden.
4. Richtigkeit der Daten
Das Gebot der Richtigkeit der Daten bedeutet im Datenschutz ganz einfach, dass personenbezogene Daten von natürlichen Personen „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“ müssen (Art. 5 Abs. 1 Lit. d). Sind die persönlichen Angaben des Betroffenen nicht korrekt, hat dieser das Recht, seine personenbezogenen Daten durch das Unternehmen korrigieren zu lassen (Art. 16 DSGVO „Recht auf Berichtigung“).
5. Grundsatz der Speicherbegrenzung / Löschung der Daten
Im Sinne der Speicherbegrenzung dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für den zuvor festgelegten Zweck erforderlich ist. Fällt der Zweck für die Datenverarbeitung weg, ist die Speicherung der Daten nicht mehr rechtmäßig. Die Daten müssen unverzüglich gelöscht oder anonymisiert werden, sodass eine Identifizierung der natürlichen Person anhand der Daten nicht mehr möglich ist.
Beachten Sie:
Dem entgegenstehen können unter Umständen gesonderte Aufbewahrungspflichten nach dem Handelsgesetzbuch oder dem Sozialgesetzbuch. Solche speziellen Gesetze neben dem Datenschutz sollten Sie daher bei der Speicherung und Löschung von Daten auch immer in Betracht ziehen.
Mit dem Grundsatz der Speicherbegrenzung einhergehend wird in der DSGVO auch das Recht der Betroffenen auf Löschung ihrer Daten bzw. das Recht auf „Vergessenwerden“ (Art. 17) geregelt. Macht der Betroffene sein Recht geltend und fordert das Löschen seiner personenbezogenen Daten, muss der Verantwortliche diese unverzüglich vornehmen – sofern keine anderen gesetzlichen Aufbewahrungspflichten für diese Daten bestehen.
6. Integrität und Vertraulichkeit
Durch die Grundsätze der Integrität und Vertraulichkeit soll sichergestellt werden, dass personenbezogene Daten nur verarbeitet werden, wenn das Unternehmen die Sicherheit der personenbezogenen Daten gewährleisten kann. Hierzu trifft die zuständige Firma geeignete technische und organisatorische Maßnahmen (kurz TOM, Art. 32 DSGVO), die die Daten vor unbefugter Verarbeitung, Zerstörung oder Verlust schützen sollen. Solche technischen und organisatorischen Maßnahmen zielen auch auf die Bereiche der Datensicherheit und der Informationssicherheit ab.
7. Rechenschaftspflicht des Verantwortlichen
In Art. 5 Abs. 1 der DSGVO wird vorgeschrieben, dass der Verantwortliche für die Beachtung und Einhaltung von den Datenschutzgrundsätzen verantwortlich ist und die Einhaltung jederzeit nachweisen können muss. Der Verantwortliche kann seiner gesetzlichen Nachweispflicht nachkommen, indem er alle datenschutzrechtlichen Anforderungen in einem Datenschutz-Management-System (DSMS) dokumentiert. Da im Datenschutz der Verantwortliche die Pflicht zur Beweislast trägt, wenn es zu einer Verletzung des Datenschutzes kommt, benötigt er den Nachweis über die Einhaltung der Datenschutzgrundsätze, um im Falle des Falles seine Unschuld anhand seiner Dokumentation beweisen zu können.
Weitere Grundprinzipien der DSGVO: Risikobasierter Ansatz / Verhältnismäßigkeit
Über die Grundsätze aus Art. 5 DSGVO hinaus sind in der DSGVO zwei weitere wichtige Prinzipien für den Datenschutz verankert: der risikobasierte Ansatz und der Grundsatz der Verhältnismäßigkeit.
Der risikobasierte Ansatz wird in der DSGVO nicht eindeutig an einer Stelle definiert, der Grundgedanke taucht aber an vielen verschiedenen Stellen des Gesetzes auf und die Bedeutung für den Datenschutz lässt sich aus verschiedenen Formulierungen in den Gesetzestexten ableiten. Ein Beispiel hierfür ist der Art. 32 „Sicherheit der Verarbeitung“ (Datensicherheit), in dem es um die technischen und organisatorischen Maßnahmen (TOM) geht. Dort heißt es:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
(Art. 32 DSGVO)
Die Maßnahmen zum Datenschutz sollen sich demnach am Risiko für die Betroffenen orientieren (risikobasierter Ansatz) und in einem angemessenen Verhältnis zu weiteren zu betrachtenden Faktoren wie dem Stand der Technik und den Implementierungskosten stehen, um durch geeignete Funktionen ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Grundsatz der Verhältnismäßigkeit).
Auch diese beiden Grundprinzipien müssen von dem Verantwortlichen und dem Datenschutzbeauftragten bei der Empfehlung und Umsetzung von Maßnahmen befolgt werden.
Was passiert, wenn Datenschutzgrundsätze nicht eingehalten werden?
Werden die zuvor aufgeführten Datenschutzgrundsätze bei der Verarbeitung personenbezogener Daten nicht eingehalten, weil die Mitarbeiter beispielsweise nicht für den Umgang und dem Schutz personenbezogener Daten geschult sind, liegt ein Datenschutzverstoß bzw. ein Verstoß gegen die DSGVO vor. Datenschutzverstöße wegen Nichteinhaltung können erhebliche Konsequenzen für Firmen und Organisationen nach sich ziehen. Neben Folgen wie Imageschäden, Verlust des Vertrauens der Kunden oder sie geben Aufsichtsbehörden einen Grund zur umfassenden Prüfung im Datenschutz mit verschärften Kontrollen durch die Aufsichtsbehörde, drohen hohe Bußgelder von bis zu 20.000.000 € oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes (aus dem vorherigen Geschäftsjahr) – gemäß Art. 83 Abs. 5 DSGVO. In schweren Fällen können sogar Urteile mit Freiheitsstrafen von bis zu zwei Jahren drohen.
Fazit
Die Grundsätze des Datenschutzes müssen bei jeder Verarbeitung von personenbezogenen Daten eingehalten werden. Kann das Unternehmen die Einhaltung der Grundsätze nicht nachweisen oder missachtet er einen der datenschutzrechtlichen Grundsätze, drohen Strafen in Form von hohen Bußgeldern und Imageschäden für das Unternehmen.
Ein externer Datenschutzbeauftragter kann Sie bei der Umsetzung und Einhaltung der datenschutzrechtlichen Grundsätze unterstützen.
Wenn Sie mehr über das Thema wissen möchten, wie Sie die Einhaltung der Datenschutzgrundsätze in Ihrem Betrieb sicherstellen, nehmen Sie gerne jederzeit Kontakt zu uns auf. Wir erstellen Ihnen ein individuelles Angebot oder setzen uns mit Ihnen für ein erstes Beratungsgespräch zusammen, welches Sie nicht mehr als eine Tasse Kaffee kostet!
Jenny Weigandt