Grundprinzipien des Datenschutzrechts

Foto: https://pixabay.com | zur kostenfreien Verfügung

Grundprinzipien des Datenschutzrechts (Art. 5 DSGVO)

  • Mehr als bloße Programmsätze
  • Kenntnis wichtig für
    • Verständnis der wesentlichen Strukturen und Anforderungen der DSGVO
    • Auslegung und Anwendung der DSGVO
  • Bußgelder bei mangelhafter Umsetzung drohen
  • Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) Art. 5 Abs. 1 lit. (a) DSGVO
  • Verarbeitung nach Treue und Glauben ( „fairly“)
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Intergrität und Vertraulichkeit
  • Die Verarbeitung personenbezogener Daten muss rechtmäßig sein
  • Verbot mit Erlaubnisvorbehalt
    • Verarbeitung personenbezogener Daten ist verboten
    • Es sei denn, die Vorrausssetzungen einer Erlaubnisnorm sind erfüllt
  • Erlaubnisnorm
  • Verbot mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DSGVO)
    • Eine Verarbeitung ist nur dann rechtmäßig, wenn die Vorraussetzung einer der genannten Erlaubnistatbestände vorliegen
  • Art 9 DSGVO
    • Verbot mit Erlaubnisvorbehalt für besondere Kategorien personenbezogener Daten (rassischer Herkunft, Gesundheitsdaten etc.)
  • Treue und Glauben (Art. 5 Abs. 1 lit (a) DSGVO)
    • Rechtlich im Moment nicht eindeutig zu fassen
      • Keine Anlehnung an Zivilrecht § 242 BGB
      • Englische Fassung: Fairly – Fairness
        • Vorhersehbarkeit
          • Ergänzt Grundsätze der Rechtmäßigkeit und der Zweckbindung
        • Interessen der anderen Seite mit berücksichtigen
      • Grundsatz der Verhältnismäßigkeit
        • Verarbeitung muss zur Verwirklichung eines legitimen Zweckes geeignet sein
        • Verarbeitung muss das mildeste aller gleich effektiven Mittel zur Erreichung dieses Zweckes darstellen (in dieser Interpretation auch eng mit Grundsatz der Datenminimierung verbunden)
        • Interessabwägung ergibt, dass Verarbeitung zu dem verfolgten Zweck mit Blick auf die Folgen für die betroffene Person angemessen ist
  • Lässt sich am Besten nur am konkreten Einzelfall unter Berücksichtigung aller Umstände beurteilen
  • Wird erst im Laufe der Zeit mit Leben gefüllt werden, indem dieser Grundsatz zukünftig durch Fallgruppen konkretisiert wird
  • Entwicklung dieses Grundsatzes im Auge behalten und auf dem Laufenden bleiben!
  • Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
  • Beantwortungen der Fragen
    • Ob und wie wird verarbeitet?
    • Von wem wird verarbeitet?
    • In welchem Umfang wird verarbeitet?
  • Grundsatz spiegelt sich wieder in Informationspflichten gegenüber der betroffenen Person (Art. 12 DSGVO)
    • z.B. umfassende Informationspflichten bei der Erhebung von personenbezogenen Daten in Art. 13 und 14 DSGVO
  • Zweckbindung (Art. 5 Abs. 1 lit (b) DSGVO)
    • Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verwendet werden
    • Beschränkung der Datenverarbeitung auf Zwecke, die mit dem ursprünglich verfolgten Verarbeitungszwecken „vereinbar“ sind
      • Welche Zwecke „vereinbar“ wird in Art. 6 Abs. 4 DSGVO ausgestaltet
      • Ausnahmen: Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke, statistische Zwecke
  • Datenminimierung (Art. 5 Abs. 1 lit. (c) DSGVO)
    • personenbezogene Daten müssen
      • dem Zweck angemessen und erheblich (für Zweck relevant) sein
      • auf das für die verarbeitung notwendige Maß beschränkt sein
        • Umfang
        • Intensität
    • Anforderungen an die Datenverarbeitung:
      • Datenevrarbeitung als Mittel: Daten dürfen nur dann verarbeitet werden, wenn der Zweck, der mit der Datenverarbeitung erreicht werden soll, nicht anders erreicht werden kann
      • Minimierung der Speicherfrist: Dauer der Speicherung ist auf ein Minimum zu reduzieren. Vorhaltung von „Datenauf Vorrat“ ist unzulässig
      • Löschroutine: Festlegung regelmäßiger Termine für Überprüfung, ob gespeicherte Daten noch erforderlich sind. Falls nicht, sind diese Daten zu löschen.
  • Richtigkeit (Art. 5 Abs. 1 lit. (d) DSGVO)
    • personenbezogene Daten müssen
      • sachlich richtig sein und
      • erforderlichenfalls auf den neuesten Stand sein
    • Alle angemessenen Maßnahmen treffen, um
      • veraltete oder unrichtige Daten zu berichtigen oder zu löschen
    • Berichtigungsanspruch nach Art. 16 DSGVO
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. (e) DSGVO)
    • Verantwortliche dürfen Daten nur verarbeiten, solange dies für die mit der Verarbeitung verfolgten Zwecke erforderlich ist
    • Daten dürfen nur solange gespeichert werden, wie dies für die Erreichung der zwecke erforderlich ist
      • Überschneidet sich mit Grundsatz der Datenminimierung und verstärkt verpflichtung zu regelmäßiger Löschroutine
      • Konkretisierung durch Löschpflichten in Art. 17 DSGVO
    • Gebot der frühestmöglichen Anonymisierung
      • Grundsatz der Speicherbegrenzung auch eingehalten, wenn
        • Daten, die länger gespeichert werdfen, als für Zweckerreichung erforderlich
        • nicht mehr einer Person zugerechnet werden können und daher keine personenbezogene Daten mehr sind
  • Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. (f) DSGVO)
    • Verantwortliche und Auftragsverarbeiter müssen personenbezogene Daten in einer Weise verarbeiten, die angemessene Sicherheit und Schutz der Daten gewährleistet
      • Schutz vor
        • unbefugter oder unrechtmäßiger Verarbeitung
        • zufälligem / unbeabsichtigtem Verlust
        • zufälliger / unbeabsichtigter Zerstörung
        • zufälliger / unbeabsichtigter Schädigung
      • Schutz durch
        • geeignete technische und organisatorische Maßnahmen (TOM)
      • Konkretisierung durch Art. 32 DSGVO
  • Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
    • Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)
    • Verarbeitung nach Treue und Glauben („fairly“)
    • Transparenz
    • Zweckbindung
    • Datenminimierung
    • Richtigkeit
    • Speicherbegrenzung
    • Integrität und Vertraulichkeit
  • Der Verantwortliche ist für die Einhaltung der Prinzipien verantwortlich und muss deren Einhaltung nachweisen können
  • Rechenschaftspflicht wird ergänzt durch Art. 24 Abs. 1 Satz 1 DSGVO
  • Wesentliche Veränderungen gegenüber bisheriger Rechtslage
  • Führt zu zusätzlichen Dokumentatios- und Nachweispflichten in der Praxis
  • Unternehmen müssen nicht nur sicherstellen, dass sie die DSGVO einhalten, sondern dies jeweils auch nachweisen können
  • Beweislast liegt beim Verantwortlichen
  • Ein Verstoß gegen Rechschaftspflicht ist gemäß Art. 83 Abs. 5 lit. (a) DSGVO mit einer Geldbuße (20 Mio. / 4%) bedroht

Die Texte ersetzen keine Rechtsberatung. Es sind lediglich Zusammenstellungen von Informationen, die jederzeit in der DSGVO oder im BDSG-NEU geändert werden können.