Die Grundsätze im Datenschutz oder Datenschutzprinzipien sind die wesentlichen Säulen des Datenschutzrechts, an denen sich die übrigen Regeln messen lassen müssen. Aber was umfassen die in Artikel 5 DSGVO geregelten Datenschutzgrundsätze und wie stehen sie in Wechselwirkung mit den übrigen Regelungen der DSGVO und des BDSG? In unserem Blogbeitrag geben wir einen Überblick über die Regelungen des Artikel 5 DSGVO, erklären die Inhalte der Datenschutzgrundsätze und geben praktische Beispiele, in welchem Kontext die Datenschutzgrundsätze einen Rolle spielen und wie diese umgesetzt werden können.
“Die Nichtbeachtung der Grundsätze des Datenschutzes ist gem. Art. 83 Abs. 5 lit. 2 DSGVO mit Bußgeld von bis zu 20.000.000 EUR bedroht – es lohnt sich also, etwas genauer hinzusehen.” – Matthias Herkert
Die Datenschutzgrundsätze sind in Art. 5 Abs. 1 DSGVO beschrieben und für die Verarbeitung von personenbezogenen Daten verbindlich. Für die Beachtung dieser Grundsätze und für die Gestaltung und Einhaltung der hierfür erforderlichen Regelungen und Prozesse ist der Verantwortliche, d.h. die Stelle, die i.S.d. Art. 4 Nr. 7 DSGVO „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, verantwortlich. Die Nichtbeachtung der Grundsätze des Datenschutzes ist gem. Art. 83 Abs. 5 lit. 2 DSGVO mit Bußgeld von bis zu 20.000.000 EUR bedroht – es lohnt sich also, etwas genauer hinzusehen.
Rechtmäßigkeit
Der Grundsatz der Rechtmäßigkeit schreibt vor, dass personenbezogene Daten nur unter dem Vorbehalt einer gesetzlichen Erlaubnis oder einer Einwilligung erhoben und verarbeitet werden dürfen. Dieser Grundsatz ist in Art. 8 Abs. 2 GRCh (Charta der Grundrechte der Europäischen Union) vorgegeben, findet sich so auch in Art. 5 Abs. 1 DSGVO und entspricht dem Grundsatz des Verbots mit Erlaubnisvorbehalt nach den Vorschriften der DSGVO. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist in Art. 6 Abs. 1 DSGVO geregelt. Bei jeder Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist darauf zu achten, dass eine Rechtsgrundlage nach den Datenschutzvorschriften vorhanden ist. Für die einzelnen Verarbeitungsverfahren sind die Rechtsgrundlagen in der Beschreibung zum Verzeichnis über die Verarbeitungstätigkeiten beschrieben und geprüft.
BEISPIEL — Rechtsgrundlage für die Speicherung der postalischen Wohnadresse der Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber ist regelmäßig § 26 Abs. 1 BDSG, da diese Informationen für die Durchführung des Beschäftigungsverhältnisses erforderlich sind. Rechtsgrundlage für den Einsatz von Cookies oder Trackingtools auf Internetseiten ist meist Artikel 6 Abs. 1 S. 1 lit. a DSGVO, also die Einwilligung des Seitenbesuchers, die er über den Cookie Banner erteilt.
Verarbeitung nach Treu und Glauben
Der Grundsatz der Verarbeitung nach Treu und Glauben aus Art 5 Abs. 1 lit. a DSGVO fordert, dass die betroffenen Personen in die Lage zu versetzen sind, vom Vorhandensein einer sie betreffenden Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden. Unter diesem Gesichtspunkt sind insbesondere die Rechte der Betroffenen (Art. 12 bis 23 DSGVO) und die Informationspflichten (Art. 13 und 14 DSGVO) in verständlicher und nachvollziehbarer Form zu erfüllen.
BEISPIEL – Bereiche, in denen Videoüberwachungen stattfinden sind so zu kennzeichnen, dass betroffene Personen vor deren Betreten über den Sachverhalt der Videoüberwachung umfangreich informiert werden. Zusammen mit jedem Einwilligungsersuchen, etwa der Bitte um Einwilligung in die Verwendung eines Portraitfotos auf einer Homepage, ist die betroffene Person über ihre Rechte gegenüber dem Einwilligungsersuchenden zu informieren.
Transparenz
Der Grundsatz der Transparenz aus Art. 5 Abs. 1 lit a DSGVO verlangt, dass jeder Betroffene wissen soll, wer welche Daten für welche Zwecke über ihn verarbeitet oder künftig noch verarbeiten wird und wie lange diese Daten gespeichert werden. Hinzu kommt, dass alle Informationen und Mitteilungen zur Verarbeitung dieser Daten leicht zugänglich und verständlich sowie i.S.d. ErwGr. 39 zu Art. 5 DSGVO in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen des Betroffenen über die Identität des Verantwortlichen, die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten. Daneben auch deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogene Daten verarbeitet werden.
BEISPIEL – Bereiche, in denen Videoüberwachungen stattfinden, sollen neben den notwendigen Informationen auch ein Symbol, meist die Grafik einer Videokamera auf blauem Grund, enthalten, welches Personen, wie auch zum Beispiel Kinder, welche die Texte nicht lesen können, auf den Tatbestand der Videoüberwachung aufmerksam machen.
Zweckbindung
Personenbezogene Daten dürfen i.S.d. Art. 5 Abs. 1 lit. b DSGVO nur für die zum Zeitpunkt der Erhebung festgelegten, eindeutigen und rechtmäßigen Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Eine Verarbeitung oder Nutzung von personenbezogenen Daten für andere als den Betroffenen im Zusammenhang mit der Datenerhebung kommunizierten Zwecke ist nur unter den gesetzlich festgelegten Bedingungen (Art. 6 Abs. 4 DSGVO) und ansonsten nur mit Einwilligung der Betroffenen zulässig.
BEISPIEL – Fotografien, die eine Bewerberin oder ein Bewerber im Rahmen ihrer / seiner Bewerbung zur Verfügung stellt, dienen dem Zweck, dass die Arbeitgeberin oder der Arbeitgeber sich „ein Bild“ des Bewerbenden machen können. Sie dürfen nach erfolgter Einstellung nicht ohne ausdrückliche Einwilligung z.B. für Firmenausweise oder auf der Homepage des Unternehmens genutzt werden.
Datenminimierung
Art. 5 Abs. 1 lit. c DSGVO fordert, dass Art und Umfang der Daten dem Zweck angemessen, erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Dies schließt eine Begrenzung der Speicherfrist auf das erforderliche Mindestmaß ein. Es ist darauf zu achten, dass nur diejenigen Daten von den Betroffenen erhoben werden, die für den jeweiligen Verarbeitungszweck auch tatsächlich und nachweisbar erforderlich sind. Darüber hinausgehende Erhebungen und Verarbeitungen sind unzulässig.
BEISPIEL – Für die Durchführung des Beschäftigungsverhältnisses i.S.d. § 26 Abs. 1 BDSG ist es regelmäßig nicht erforderlich, dass der Arbeitgeber die Mobilrufnummer der Beschäftigten kennt und verarbeitet.
Richtigkeit
Personenbezogene Daten müssen gem. Art. 5 Abs. 1 lit. d DSGVO im Hinblick auf die Zwecke ihrer Verarbeitung sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen. Die Verarbeitung und die Veränderung von personenbezogenen Daten müssen daher nachvollziehbar und in geeigneter Weise revisionsfähig dokumentiert und überprüfbar sein.
BEISPIEL – Die im Rahmen einer Einwilligung zum Newsletterversand gegebene E‑Mail-Adresse einer Person, sollte durch regelmäßige Aussendungen daraufhin überwacht werden, ob eine Zustellung von Newslettern an diese Adresse überhaupt noch möglich ist.
Speicherbegrenzung
Personenbezogene Daten dürfen gem. Art. 5 Abs. 1 lit. e DSGVO nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben worden sind, erforderlich ist. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, sind Fristen für ihre Löschung oder Pseudonymisierung vorzusehen und diese regelmäßig zu überprüfen. Die Aufbewahrungsfristen sind unter Beachtung gesetzlicher Vorgaben verbindlich festzulegen. Die Löschung bzw. Vernichtung oder Pseudonymisierung der Daten ist nach Wegfall der Rechtsgrundlage unverzüglich zu veranlassen, zu überwachen und, soweit erforderlich, zu dokumentieren. Die Verfahren für eine sichere Löschung oder Pseudonymisierung von personenbezogenen Daten und die Vernichtung/Entsorgung von Geräten und Datenträgern sollten mit dem Datenschutzbeauftragten und, falls vorhanden, mit dem Sicherheitsbeauftragten abgestimmt werden.
BEISPIEL – Firmenausweise mit dem Namen und möglicherweise mit einem Lichtbild der Beschäftigten sind gemäß des datenschutzrechtlichen Grundsatzes der Speicherbegrenzung unverzüglich zu vernichten, wenn die betroffene Person nicht mehr für den Verantwortlichen tätig ist.
Integrität und Vertraulichkeit
Über den Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) sollen personenbezogene Daten und die Vorgänge ihrer Verarbeitung vor ungeplanten Zugriffen wie auch vor unbeabsichtigten Beeinträchtigungen geschützt werden. Der Grundsatz verlangt einen angemessenen Schutz und eine angemessene Sicherheit der personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder Schädigung. Bei der Verarbeitung der personenbezogenen Daten sind durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten und i.S.d. Art. 32. Abs. 1 lit. b DSGVO die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
BEISPIEL – Da Webserver exponierte Angriffsflächen bieten, müssen diese für alle Verbindungen durch nicht vertrauenswürdige Netze eine sichere Verschlüsselung über TLS anbieten und hierbei nach Stand der Technik die Anforderungen von TLS.2.1.01 und TLS.2.1.02 erfüllen.
Rechenschaftspflicht
Der Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO verlangt abschließend, dass die Einhaltung der dargestellten Datenschutzgrundsätze nachgewiesen werden kann. Zur Erfüllung dieser Rechenschaftspflicht ist im Unternehmen ein systematisches Datenschutzmanagement einzurichten oder zumindest ein geeignetes Nachweissystem aufzubauen. Auf der Grundlage dieser Dokumentation muss eine Überprüfung der Einhaltung der Grundsätze durch Aufsichtsbehörden sowie durch interne oder externe Datenschutzprüfungen und Audits möglich sein.
BEISPIEL – Das Vorliegen der Einwilligung in die Verwendung von Cookies muss, i.d.R. über die eingesetzten Skripte oder durch Logs, genauso nachgewiesen werden wie die datenschutzkonforme Vernichtung von Personalakten, z.B. durch geeignete Aktenvernichter oder zertifizierte Dienstleister.
Fazit
Die datenschutzrechtlichen Grundsätze des Artikel 5 DSGVO haben große Bedeutung für die Gestaltung und Umsetzung datenschutzrechtlicher Vorschriften in der Praxis. Trotz der vermeintlich „theoretischen“ und zugegebenermaßen etwas „trockenen“ Formulierungen steckt in den Datenschutzprinzipien sehr viel Alltag und Praxis. So wird die Auseinandersetzung und das Verständnis der Vorschriften zum einen die Interpretation und damit letztlich die Anwendung datenschutzrechtlicher Vorgaben erleichtern. Zum anderen wird sie aber auch dabei helfen, offensichtliche gesetzgeberische Unklarheiten, wie sie zuletzt im Kontext von „3G am Arbeitsplatz“ im Rahmen der Neuregelung des Infektionsschutzgesetzes vorlagen und vom BfDI Prof. Dr. Ulrich Kelber angemahnt wurden, zu erkennen und in die eigenen Überlegungen bei der Gestaltung der betrieblichen Datenschutzorganisation mit zu berücksichtigen.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]