

Grundprinzipien des Datenschutzrechts (Art. 5 DSGVO)
- Mehr als bloße Programmsätze
- Kenntnis wichtig für
- Verständnis der wesentlichen Strukturen und Anforderungen der DSGVO
- Auslegung und Anwendung der DSGVO
- Bußgelder bei mangelhafter Umsetzung drohen
- Art. 83 Abs. 5 (a) DSGVO
- bis zu 20 Millionen Euro bzw. 4% des Jahresumsatzes weltweit
- Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) Art. 5 Abs. 1 lit. (a) DSGVO
- Verarbeitung nach Treue und Glauben ( „fairly“)
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Intergrität und Vertraulichkeit
- Die Verarbeitung personenbezogener Daten muss rechtmäßig sein
- Verbot mit Erlaubnisvorbehalt
- Verarbeitung personenbezogener Daten ist verboten
- Es sei denn, die Vorrausssetzungen einer Erlaubnisnorm sind erfüllt
- Erlaubnisnorm
- Verbot mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DSGVO)
- Eine Verarbeitung ist nur dann rechtmäßig, wenn die Vorraussetzung einer der genannten Erlaubnistatbestände vorliegen
- Art 9 DSGVO
- Verbot mit Erlaubnisvorbehalt für besondere Kategorien personenbezogener Daten (rassischer Herkunft, Gesundheitsdaten etc.)
- Treue und Glauben (Art. 5 Abs. 1 lit (a) DSGVO)
- Rechtlich im Moment nicht eindeutig zu fassen
- Keine Anlehnung an Zivilrecht § 242 BGB
- Englische Fassung: Fairly – Fairness
- Vorhersehbarkeit
- Ergänzt Grundsätze der Rechtmäßigkeit und der Zweckbindung
- Interessen der anderen Seite mit berücksichtigen
- Vorhersehbarkeit
- Grundsatz der Verhältnismäßigkeit
- Verarbeitung muss zur Verwirklichung eines legitimen Zweckes geeignet sein
- Verarbeitung muss das mildeste aller gleich effektiven Mittel zur Erreichung dieses Zweckes darstellen (in dieser Interpretation auch eng mit Grundsatz der Datenminimierung verbunden)
- Interessabwägung ergibt, dass Verarbeitung zu dem verfolgten Zweck mit Blick auf die Folgen für die betroffene Person angemessen ist
- Rechtlich im Moment nicht eindeutig zu fassen
- Lässt sich am Besten nur am konkreten Einzelfall unter Berücksichtigung aller Umstände beurteilen
- Wird erst im Laufe der Zeit mit Leben gefüllt werden, indem dieser Grundsatz zukünftig durch Fallgruppen konkretisiert wird
- Entwicklung dieses Grundsatzes im Auge behalten und auf dem Laufenden bleiben!
- Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
- Beantwortungen der Fragen
- Ob und wie wird verarbeitet?
- Von wem wird verarbeitet?
- In welchem Umfang wird verarbeitet?
- Grundsatz spiegelt sich wieder in Informationspflichten gegenüber der betroffenen Person (Art. 12 DSGVO)
- Zweckbindung (Art. 5 Abs. 1 lit (b) DSGVO)
- Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verwendet werden
- Beschränkung der Datenverarbeitung auf Zwecke, die mit dem ursprünglich verfolgten Verarbeitungszwecken „vereinbar“ sind
- Welche Zwecke „vereinbar“ wird in Art. 6 Abs. 4 DSGVO ausgestaltet
- Ausnahmen: Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke, statistische Zwecke
- Datenminimierung (Art. 5 Abs. 1 lit. (c) DSGVO)
- personenbezogene Daten müssen
- dem Zweck angemessen und erheblich (für Zweck relevant) sein
- auf das für die verarbeitung notwendige Maß beschränkt sein
- Umfang
- Intensität
- Anforderungen an die Datenverarbeitung:
- Datenevrarbeitung als Mittel: Daten dürfen nur dann verarbeitet werden, wenn der Zweck, der mit der Datenverarbeitung erreicht werden soll, nicht anders erreicht werden kann
- Minimierung der Speicherfrist: Dauer der Speicherung ist auf ein Minimum zu reduzieren. Vorhaltung von „Datenauf Vorrat“ ist unzulässig
- Löschroutine: Festlegung regelmäßiger Termine für Überprüfung, ob gespeicherte Daten noch erforderlich sind. Falls nicht, sind diese Daten zu löschen.
- personenbezogene Daten müssen
- Richtigkeit (Art. 5 Abs. 1 lit. (d) DSGVO)
- personenbezogene Daten müssen
- sachlich richtig sein und
- erforderlichenfalls auf den neuesten Stand sein
- Alle angemessenen Maßnahmen treffen, um
- veraltete oder unrichtige Daten zu berichtigen oder zu löschen
- Berichtigungsanspruch nach Art. 16 DSGVO
- personenbezogene Daten müssen
- Speicherbegrenzung (Art. 5 Abs. 1 lit. (e) DSGVO)
- Verantwortliche dürfen Daten nur verarbeiten, solange dies für die mit der Verarbeitung verfolgten Zwecke erforderlich ist
- Daten dürfen nur solange gespeichert werden, wie dies für die Erreichung der zwecke erforderlich ist
- Überschneidet sich mit Grundsatz der Datenminimierung und verstärkt verpflichtung zu regelmäßiger Löschroutine
- Konkretisierung durch Löschpflichten in Art. 17 DSGVO
- Gebot der frühestmöglichen Anonymisierung
- Grundsatz der Speicherbegrenzung auch eingehalten, wenn
- Daten, die länger gespeichert werdfen, als für Zweckerreichung erforderlich
- nicht mehr einer Person zugerechnet werden können und daher keine personenbezogene Daten mehr sind
- Grundsatz der Speicherbegrenzung auch eingehalten, wenn
- Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. (f) DSGVO)
- Verantwortliche und Auftragsverarbeiter müssen personenbezogene Daten in einer Weise verarbeiten, die angemessene Sicherheit und Schutz der Daten gewährleistet
- Schutz vor
- unbefugter oder unrechtmäßiger Verarbeitung
- zufälligem / unbeabsichtigtem Verlust
- zufälliger / unbeabsichtigter Zerstörung
- zufälliger / unbeabsichtigter Schädigung
- Schutz durch
- geeignete technische und organisatorische Maßnahmen (TOM)
- Konkretisierung durch Art. 32 DSGVO
- Schutz vor
- Verantwortliche und Auftragsverarbeiter müssen personenbezogene Daten in einer Weise verarbeiten, die angemessene Sicherheit und Schutz der Daten gewährleistet
- Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
- Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)
- Verarbeitung nach Treue und Glauben („fairly“)
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Der Verantwortliche ist für die Einhaltung der Prinzipien verantwortlich und muss deren Einhaltung nachweisen können
- Rechenschaftspflicht wird ergänzt durch Art. 24 Abs. 1 Satz 1 DSGVO
- Wesentliche Veränderungen gegenüber bisheriger Rechtslage
- Führt zu zusätzlichen Dokumentatios- und Nachweispflichten in der Praxis
- Unternehmen müssen nicht nur sicherstellen, dass sie die DSGVO einhalten, sondern dies jeweils auch nachweisen können
- Beweislast liegt beim Verantwortlichen
- Ein Verstoß gegen Rechschaftspflicht ist gemäß Art. 83 Abs. 5 lit. (a) DSGVO mit einer Geldbuße (20 Mio. / 4%) bedroht
Die Texte ersetzen keine Rechtsberatung. Es sind lediglich Zusammenstellungen von Informationen, die jederzeit in der DSGVO oder im BDSG-NEU geändert werden können.