Die Grundsätze des Datenschutzes aus Art. 5 DSGVO rücken immer wieder in den Fokus bei der Arbeit. Denn auch wenn zum Teil hochspezialisierte Fragen den Alltag des Datenschutzes bestimmen, fällt man immer wieder auf die Grundsätze zurück. In diesem Beitrag widmen wir uns der dem Grundsatz von Treu und Glauben – oder umgangssprachlich Fairness – und den Besonderheiten dieses Grundsatzes.
Der Inhalt im Überblick
Treu und Glauben – Was ist das?
Der Grundsatz von Treu und Glauben wird in Art. 5 Abs. 1 lit. a) DSGVO gemeinsam mit dem Grundsatz der Rechtmäßigkeit und der Transparenz in einem Atemzug genannt:
„Personenbezogene Daten müssen
1) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);“
Abgrenzungsschwierigkeiten
Die Abgrenzung von dem Grundsatz der Rechtmäßigkeit und Transparenz fällt in der Praxis schwer. Denn eine unrechtmäßige oder heimliche Verarbeitung wird regelmäßig auch treuwidrig sein. Insofern spiegelt die sprachliche Zusammenfassung auch eine inhaltliche Überschneidung.
Diese Verquickung der drei Grundsätze findet auch in Erwägungsgrund 39 seinen Ausdruck:
„Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. […] Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, […].“
Der Gesetzgeber nennt hier Rechtmäßigkeit, Treu und Glauben, Transparenz und Fairness alle in einem Atemzug.
Ist der Begriff Treu und Glauben Alles und Nichts?
Juristen kennen den Grundsatz von Treu und Glauben aus § 242 BGB natürlich leidlich. Dort ist der Begriff eine Generalklausel bzw. offener Tatbestand, der ausgelegt und mit Leben gefüllt werden muss. Definieren kann man ihn folgendermaßen:
„Das Merkmal Treue bedeutet innerhalb der Generalklausel nach seinem Wortsinn eine auf Zuverlässigkeit, Aufrichtigkeit und Rücksichtnahme beruhende äußere und innere Haltung gegenüber einer anderen Person. Glauben meint das Vertrauen auf eine solche Haltung.“
Bei solch hochtrabenden Begriffen fühlt man sich leicht an das Nibelungenlied und ritterliche Helden erinnert, doch die Rechtsfindung erleichtert es kaum.
Zudem spricht gegen einen Rückgriff auf die deutsche Definition zur Auslegung des Begriffs, dass es keine Anhaltspunkte gibt, wonach der EU-Gesetzgeber den Begriff im Sinne eines nationalen Gesetzes verwenden wollte. Zumal der Begriff im BGB ausschließlich zivilrechtlich, also zwischen privaten Akteuren gilt, und nicht in der Beziehung von Bürger zu Staat, wie es in der DSGVO der Fall sein kann. Des Weiteren wird der Begriff Treu und Glauben auch an anderen Stellen in europäischen Recht verwendet, wie Art. 8 Abs. 2 S. 1 EU Grundrechte-Charta oder Art. 6 Abs. 1 lit. a Datenschutz-Richtlinie (dem Vorgänger der DSGVO). Er ist daher originär europarechtlich auszulegen.
Hilfreich ist die englische Fassung der DSGVO, die den Begriff „Fairness“ verwendet. Für dieses Verständnis spricht auch, dass an anderen Stellen der deutschen Fassung der DSGVO und der Erwägungsgründe zur DSGVO der Begriff „fair“ als eingedeutschtes Wort verwendet wird. Dennoch bleibt der Begriff schwer zu fassen. Er ist zudem nicht klar von dem Grundsatz der Transparenz zu trennen, was sich auch darin ausdrückt, dass er in der DSGVO die Wörter fair und transparent fast immer Hand in Hand gehen, so in Art. 13 Abs. 2, Art. 14 Abs. 2, Art. 40 Abs. 2 lit. a) DSGVO, EG 39 S. 4, EG 60 S. 1, EG 71 Abs. 2 S. 1).
Für wen gilt der Grundsatz?
Es wird kein konkreter Adressat des Grundsatzes genannt. Anders als bei dem Transparenzgrundsatz und den Informationspflichten aus Art. 13 und 14 DSGVO gibt es auch keine zentrale Norm in der DSGVO, die dem Grundsatz von Treu und Glauben Leben einhaucht. Da dieser aber in der Regel mit dem Grundsatz der Transparenz einhergeht, ist in den meisten Fällen der Verantwortliche der primäre Adressat. Da der Grundsatz aber als Auffangtatbestand schwer einzugrenzen ist, wären aber auch Konstellationen denkbar, in denen ein Auftragsverarbeiter dagegen verstößt.
Anwendungsfälle
Typische Fälle einer „unfairen“ Verarbeitung sind verborgene Datenverarbeitung, wie z.B. versteckte Videokameras oder Software zum Ausspionieren von Nutzern. Denkbar ist es auch, Fälle hierunter zu fassen, in denen eine Einwilligung eingeholt wird, um dem Betroffenen zu suggerieren, dass die Verarbeitung von seinem Willen abhängt, obwohl man als „Back-up“ noch eine andere Rechtsgrundlage in der Hinterhand hat, auf die man die Verarbeitung nach einem Widerruf der Einwilligung stützt. Ein solches Vorgehen ist nach herrschender Meinung unfair und intransparent. An diesen Beispielen zeigen sich aber auch wieder die Abgrenzungsschwierigkeiten zur Transparenz.
Ein weiterer denkbarer Anwendungsfall sind unverhältnismäßige Datenverarbeitungen, wenn also der Umfang der Verarbeitung außer Verhältnis zum verfolgten Zweck der Verarbeitung steht oder schon kein legitimer Zweck verfolgt wird, wobei dann der Zweckbindungsgrundsatz primär herangezogen werden würde.
Bedeutung des Grundsatzes von Treu und Glauben
Der Begriff von Treu und Glauben lässt einen etwas ratlos zurück. Bei seiner Erklärung kommt man schnell darauf zurück, dass die Verarbeitung nicht unfair und treuwidrig sein darf. Wegen der Schwierigkeit ihn positiv zu formulieren, bleibt es ein ziemlich offener und auslegungsbedürftiger Begriff, der von Fall zu Fall mit Leben gefüllt werden muss. Er dient somit als Auffangtatbestand, der Verhaltensweise verhindern soll, die grob gegen das allgemeine Gerechtigkeitsgefühl verstoßen.
Für den Anwender in der Praxis spielt der Grundsatz von Treu und Glauben daher eine untergeordnete Rolle. In der Regel wird man eher den Grundsatz der Transparenz oder andere Grundsätze bemühen, um unfaire und intransparente Datenverarbeitungen zu unterbinden.
