“Die Nicht­be­ach­tung der Grund­sät­ze des Daten­schut­zes ist gem. Art. 83 Abs. 5 lit. 2 DSGVO mit Buß­geld von bis zu 20.000.000 EUR bedroht – es lohnt sich also, etwas genau­er hin­zu­se­hen.” – Mat­thi­as Herkert

Die Daten­schutz­grund­sät­ze sind in Art. 5 Abs. 1 DSGVO beschrie­ben und für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ver­bind­lich. Für die Beach­tung die­ser Grund­sät­ze und für die Gestal­tung und Ein­hal­tung der hier­für erfor­der­li­chen Rege­lun­gen und Pro­zes­se ist der Ver­ant­wort­li­che, d.h. die Stel­le, die i.S.d. Art. 4 Nr. 7 DSGVO „allein oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det“, ver­ant­wort­lich. Die Nicht­be­ach­tung der Grund­sät­ze des Daten­schut­zes ist gem. Art. 83 Abs. 5 lit. 2 DSGVO mit Buß­geld von bis zu 20.000.000 EUR bedroht – es lohnt sich also, etwas genau­er hinzusehen.

Recht­mä­ßig­keit

Der Grund­satz der Recht­mä­ßig­keit schreibt vor, dass per­so­nen­be­zo­ge­ne Daten nur unter dem Vor­be­halt einer gesetz­li­chen Erlaub­nis oder einer Ein­wil­li­gung erho­ben und ver­ar­bei­tet wer­den dür­fen. Die­ser Grund­satz ist in Art. 8 Abs. 2 GRCh (Char­ta der Grund­rech­te der Euro­päi­schen Uni­on) vor­ge­ge­ben, fin­det sich so auch in Art. 5 Abs. 1 DSGVO und ent­spricht dem Grund­satz des Ver­bots mit Erlaub­nis­vor­be­halt nach den Vor­schrif­ten der DSGVO. Die Recht­mä­ßig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist in Art. 6 Abs. 1 DSGVO gere­gelt. Bei jeder Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten ist dar­auf zu ach­ten, dass eine Rechts­grund­la­ge nach den Daten­schutz­vor­schrif­ten vor­han­den ist. Für die ein­zel­nen Ver­ar­bei­tungs­ver­fah­ren sind die Rechts­grund­la­gen in der Beschrei­bung zum Ver­zeich­nis über die Ver­ar­bei­tungs­tä­tig­kei­ten beschrie­ben und geprüft.

BEISPIEL — Rechts­grund­la­ge für die Spei­che­rung der pos­ta­li­schen Wohn­adres­se der Beschäf­tig­ten durch die Arbeit­ge­be­rin oder den Arbeit­ge­ber ist regel­mä­ßig § 26 Abs. 1 BDSG, da die­se Infor­ma­tio­nen für die Durch­füh­rung des Beschäf­ti­gungs­ver­hält­nis­ses erfor­der­lich sind. Rechts­grund­la­ge für den Ein­satz von Coo­kies oder Track­ing­tools auf Inter­net­sei­ten ist meist Arti­kel 6 Abs. 1 S. 1 lit. a DSGVO, also die Ein­wil­li­gung des Sei­ten­be­su­chers, die er über den Coo­kie Ban­ner erteilt. 

Ver­ar­bei­tung nach Treu und Glauben

Der Grund­satz der Ver­ar­bei­tung nach Treu und Glau­ben aus Art 5 Abs. 1 lit. a DSGVO for­dert, dass die betrof­fe­nen Per­so­nen in die Lage zu ver­set­zen sind, vom Vor­han­den­sein einer sie betref­fen­den Ver­ar­bei­tung zu erfah­ren und ord­nungs­ge­mäß und umfas­send über die Bedin­gun­gen der Erhe­bung infor­miert zu wer­den. Unter die­sem Gesichts­punkt sind ins­be­son­de­re die Rech­te der Betrof­fe­nen (Art. 12 bis 23 DSGVO) und die Infor­ma­ti­ons­pflich­ten (Art. 13 und 14 DSGVO) in ver­ständ­li­cher und nach­voll­zieh­ba­rer Form zu erfüllen.

BEISPIEL – Berei­che, in denen Video­über­wa­chun­gen statt­fin­den sind so zu kenn­zeich­nen, dass betrof­fe­ne Per­so­nen vor deren Betre­ten über den Sach­ver­halt der Video­über­wa­chung umfang­reich infor­miert wer­den. Zusam­men mit jedem Ein­wil­li­gungs­er­su­chen, etwa der Bit­te um Ein­wil­li­gung in die Ver­wen­dung eines Por­trait­fo­tos auf einer Home­page, ist die betrof­fe­ne Per­son über ihre Rech­te gegen­über dem Ein­wil­li­gungs­er­su­chen­den zu informieren. 

Trans­pa­renz

Der Grund­satz der Trans­pa­renz aus Art. 5 Abs. 1 lit a DSGVO ver­langt, dass jeder Betrof­fe­ne wis­sen soll, wer wel­che Daten für wel­che Zwe­cke über ihn ver­ar­bei­tet oder künf­tig noch ver­ar­bei­ten wird und wie lan­ge die­se Daten gespei­chert wer­den. Hin­zu kommt, dass alle Infor­ma­tio­nen und Mit­tei­lun­gen zur Ver­ar­bei­tung die­ser Daten leicht zugäng­lich und ver­ständ­lich sowie i.S.d. Erw­Gr. 39 zu Art. 5 DSGVO in kla­rer und ein­fa­cher Spra­che abge­fasst sind.  Die­ser Grund­satz betrifft ins­be­son­de­re die Infor­ma­tio­nen des Betrof­fe­nen über die Iden­ti­tät des Ver­ant­wort­li­chen, die Zwe­cke der Ver­ar­bei­tung und sons­ti­ge Infor­ma­tio­nen, die eine fai­re und trans­pa­ren­te Ver­ar­bei­tung im Hin­blick auf die betrof­fe­nen natür­li­chen Per­so­nen gewähr­leis­ten. Dane­ben auch deren Recht, eine Bestä­ti­gung und Aus­kunft dar­über zu erhal­ten, wel­che sie betref­fen­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden.

BEISPIEL – Berei­che, in denen Video­über­wa­chun­gen statt­fin­den, sol­len neben den not­wen­di­gen Infor­ma­tio­nen auch ein Sym­bol, meist die Gra­fik einer Video­ka­me­ra auf blau­em Grund, ent­hal­ten, wel­ches Per­so­nen, wie auch zum Bei­spiel Kin­der, wel­che die Tex­te nicht lesen kön­nen, auf den Tat­be­stand der Video­über­wa­chung auf­merk­sam machen. 

Zweck­bin­dung

Per­so­nen­be­zo­ge­ne Daten dür­fen i.S.d. Art. 5 Abs. 1 lit. b DSGVO nur für die zum Zeit­punkt der Erhe­bung fest­ge­leg­ten, ein­deu­ti­gen und recht­mä­ßi­gen Zwe­cke erho­ben wer­den und dür­fen nicht in einer mit die­sen Zwe­cken nicht zu ver­ein­ba­ren­den Wei­se wei­ter­ver­ar­bei­tet wer­den. Eine Ver­ar­bei­tung oder Nut­zung von per­so­nen­be­zo­ge­nen Daten für ande­re als den Betrof­fe­nen im Zusam­men­hang mit der Daten­er­he­bung kom­mu­ni­zier­ten Zwe­cke ist nur unter den gesetz­lich fest­ge­leg­ten Bedin­gun­gen (Art. 6 Abs. 4 DSGVO) und ansons­ten nur mit Ein­wil­li­gung der Betrof­fe­nen zulässig.

BEISPIEL – Foto­gra­fien, die eine Bewer­be­rin oder ein Bewer­ber im Rah­men ihrer / sei­ner Bewer­bung zur Ver­fü­gung stellt, die­nen dem Zweck, dass die Arbeit­ge­be­rin oder der Arbeit­ge­ber sich „ein Bild“ des Bewer­ben­den machen kön­nen. Sie dür­fen nach erfolg­ter Ein­stel­lung nicht ohne aus­drück­li­che Ein­wil­li­gung z.B. für Fir­men­aus­wei­se oder auf der Home­page des Unter­neh­mens genutzt werden. 

Daten­mi­ni­mie­rung

Art. 5 Abs. 1 lit. c DSGVO for­dert, dass Art und Umfang der Daten dem Zweck ange­mes­sen, erheb­lich sowie auf das für die Zwe­cke der Ver­ar­bei­tung not­wen­di­ge Maß beschränkt sein müs­sen. Dies schließt eine Begren­zung der Spei­cher­frist auf das erfor­der­li­che Min­dest­maß ein. Es ist dar­auf zu ach­ten, dass nur die­je­ni­gen Daten von den Betrof­fe­nen erho­ben wer­den, die für den jewei­li­gen Ver­ar­bei­tungs­zweck auch tat­säch­lich und nach­weis­bar erfor­der­lich sind. Dar­über hin­aus­ge­hen­de Erhe­bun­gen und Ver­ar­bei­tun­gen sind unzulässig.

BEISPIEL – Für die Durch­füh­rung des Beschäf­ti­gungs­ver­hält­nis­ses i.S.d. § 26 Abs. 1 BDSG ist es regel­mä­ßig nicht erfor­der­lich, dass der Arbeit­ge­ber die Mobil­ruf­num­mer der Beschäf­tig­ten kennt und verarbeitet. 

Rich­tig­keit

Per­so­nen­be­zo­ge­ne Daten müs­sen gem. Art. 5 Abs. 1 lit. d DSGVO im Hin­blick auf die Zwe­cke ihrer Ver­ar­bei­tung sach­lich rich­tig und erfor­der­li­chen­falls auf dem neu­es­ten Stand sein. Unrich­ti­ge Daten sind unver­züg­lich zu berich­ti­gen oder zu löschen. Die Ver­ar­bei­tung und die Ver­än­de­rung von per­so­nen­be­zo­ge­nen Daten müs­sen daher nach­voll­zieh­bar und in geeig­ne­ter Wei­se revi­si­ons­fä­hig doku­men­tiert und über­prüf­bar sein.

BEISPIEL – Die im Rah­men einer Ein­wil­li­gung zum News­let­ter­ver­sand gege­be­ne E‑Mail-Adresse einer Per­son, soll­te durch regel­mä­ßi­ge Aus­sen­dun­gen dar­auf­hin über­wacht wer­den, ob eine Zustel­lung von News­let­tern an die­se Adres­se über­haupt noch mög­lich ist. 

Spei­cher­be­gren­zung

Per­so­nen­be­zo­ge­ne Daten dür­fen gem. Art. 5 Abs. 1 lit. e DSGVO nur so lan­ge gespei­chert wer­den, wie es für die Zwe­cke, für die sie erho­ben wor­den sind, erfor­der­lich ist. Um sicher­zu­stel­len, dass per­so­nen­be­zo­ge­ne Daten nicht län­ger als nötig gespei­chert wer­den, sind Fris­ten für ihre Löschung oder Pseud­ony­mi­sie­rung vor­zu­se­hen und die­se regel­mä­ßig zu über­prü­fen. Die Auf­be­wah­rungs­fris­ten sind unter Beach­tung gesetz­li­cher Vor­ga­ben ver­bind­lich fest­zu­le­gen. Die Löschung bzw. Ver­nich­tung oder Pseud­ony­mi­sie­rung der Daten ist nach Weg­fall der Rechts­grund­la­ge unver­züg­lich zu ver­an­las­sen, zu über­wa­chen und, soweit erfor­der­lich, zu doku­men­tie­ren. Die Ver­fah­ren für eine siche­re Löschung oder Pseud­ony­mi­sie­rung von per­so­nen­be­zo­ge­nen Daten und die Vernichtung/Entsorgung von Gerä­ten und Daten­trä­gern soll­ten mit dem Daten­schutz­be­auf­trag­ten und, falls vor­han­den, mit dem Sicher­heits­be­auf­trag­ten abge­stimmt werden.

BEISPIEL – Fir­men­aus­wei­se mit dem Namen und mög­li­cher­wei­se mit einem Licht­bild der Beschäf­tig­ten sind gemäß des daten­schutz­recht­li­chen Grund­sat­zes der Spei­cher­be­gren­zung unver­züg­lich zu ver­nich­ten, wenn die betrof­fe­ne Per­son nicht mehr für den Ver­ant­wort­li­chen tätig ist. 

Inte­gri­tät und Vertraulichkeit

Über den Grund­satz der Inte­gri­tät und Ver­trau­lich­keit (Art. 5 Abs. 1 lit. f DSGVO) sol­len per­so­nen­be­zo­ge­ne Daten und die Vor­gän­ge ihrer Ver­ar­bei­tung vor unge­plan­ten Zugrif­fen wie auch vor unbe­ab­sich­tig­ten Beein­träch­ti­gun­gen geschützt wer­den. Der Grund­satz ver­langt einen ange­mes­se­nen Schutz und eine ange­mes­se­ne Sicher­heit der per­so­nen­be­zo­ge­nen Daten vor unbe­fug­ter oder unrecht­mä­ßi­ger Ver­ar­bei­tung und vor Ver­lust, Zer­stö­rung oder Schä­di­gung. Bei der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten sind durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men eine ange­mes­se­ne Sicher­heit der per­so­nen­be­zo­ge­nen Daten zu gewähr­leis­ten und i.S.d. Art. 32. Abs. 1 lit. b DSGVO die Fähig­keit, Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen.

BEISPIEL – Da Web­ser­ver expo­nier­te Angriffs­flä­chen bie­ten, müs­sen die­se für alle Ver­bin­dun­gen durch nicht ver­trau­ens­wür­di­ge Net­ze eine siche­re Ver­schlüs­se­lung über TLS anbie­ten und hier­bei nach Stand der Tech­nik die Anfor­de­run­gen von TLS.2.1.01 und TLS.2.1.02 erfüllen.

Rechen­schafts­pflicht

Der Grund­satz der Rechen­schafts­pflicht aus Art. 5 Abs. 2 DSGVO ver­langt abschlie­ßend, dass die Ein­hal­tung der dar­ge­stell­ten Daten­schutz­grund­sät­ze nach­ge­wie­sen wer­den kann. Zur Erfül­lung die­ser Rechen­schafts­pflicht ist im Unter­neh­men ein sys­te­ma­ti­sches Daten­schutz­ma­nage­ment ein­zu­rich­ten oder zumin­dest ein geeig­ne­tes Nach­weis­sys­tem auf­zu­bau­en. Auf der Grund­la­ge die­ser Doku­men­ta­ti­on muss eine Über­prü­fung der Ein­hal­tung der Grund­sät­ze durch Auf­sichts­be­hör­den sowie durch inter­ne oder exter­ne Daten­schutz­prü­fun­gen und Audits mög­lich sein.

BEISPIEL – Das Vor­lie­gen der Ein­wil­li­gung in die Ver­wen­dung von Coo­kies muss, i.d.R. über die ein­ge­setz­ten Skrip­te oder durch Logs, genau­so nach­ge­wie­sen wer­den wie die daten­schutz­kon­for­me Ver­nich­tung von Per­so­nal­ak­ten, z.B. durch geeig­ne­te Akten­ver­nich­ter oder zer­ti­fi­zier­te Dienstleister.

Fazit

Die daten­schutz­recht­li­chen Grund­sät­ze des Arti­kel 5 DSGVO haben gro­ße Bedeu­tung für die Gestal­tung und Umset­zung daten­schutz­recht­li­cher Vor­schrif­ten in der Pra­xis. Trotz der ver­meint­lich „theo­re­ti­schen“ und zuge­ge­be­ner­ma­ßen etwas „tro­cke­nen“ For­mu­lie­run­gen steckt in den Daten­schutz­prin­zi­pi­en sehr viel All­tag und Pra­xis. So wird die Aus­ein­an­der­set­zung und das Ver­ständ­nis der Vor­schrif­ten zum einen die Inter­pre­ta­ti­on und damit letzt­lich die Anwen­dung daten­schutz­recht­li­cher Vor­ga­ben erleich­tern. Zum ande­ren wird sie aber auch dabei hel­fen, offen­sicht­li­che gesetz­ge­be­ri­sche Unklar­hei­ten, wie sie zuletzt im Kon­text von „3G am Arbeits­platz“ im Rah­men der Neu­re­ge­lung des Infek­ti­ons­schutz­ge­set­zes vor­la­gen und vom BfDI Prof. Dr. Ulrich Kel­ber ange­mahnt wur­den, zu erken­nen und in die eige­nen Über­le­gun­gen bei der Gestal­tung der betrieb­li­chen Daten­schutz­or­ga­ni­sa­ti­on mit zu berücksichtigen.