Wichtige Datenschutzgrundsätze für die Verarbeitung von Daten

Fachbeitrag

Werden personenbezogene Daten verarbeitet, muss diese Verarbeitung stets rechtmäßig sein und darf nur auf bestimmte Art und Weise erfolgen. Ein datenschutzkonformer Umgang mit Daten ist daher nur gewährleistet, wenn die in der DSGVO genannten speziellen Datenschutzgrundsätze eingehalten werden. Um welche wichtigen Grundsätze es sich hierbei handelt und welche rechtliche Stellung sie einnehmen, zeigt der folgende Beitrag.

Entstehungsgeschichte der Datenschutzgrundsätze

Bereits das Bundesverfassungsgericht hatte 1983 bestimmte Bedingungen, wie die Transparenz, Zweckbegrenzung und Erforderlichkeit in seinem Volkszählungsurteil festgelegt. Nur unter Einhaltung dieser Bedingungen sollten Einschränkungen und Eingriffe in das Recht auf informationelle Selbstbestimmung des Einzelnen gerechtfertigt sein.

In das deutsche Datenschutzrecht wurde eine solche Liste von Grundsätzen zwar nicht übernommen, diente jedoch zumindest als Auslegungshilfe der Datenschutzgesetze.

Auch die Datenschutz-RL (RL 46/95/EG) enthielt in Art. 6 bereits eine Liste spezieller Qualitätsgrundsätze. Diese Vorschrift zählte bereits einige der in der DSGVO genannten Grundsätze, wie bspw. Treu und Glauben, Richtigkeit und Speicherbegrenzung auf und verwies in ihrem zweiten Absatz auf den Verantwortlichen, der für die Einhaltung der Grundsätze Sorge zu tragen hat.

Daneben führte auch die Grundrechtecharta seit 2009 die wichtigsten Datenschutzgrundsätze auf, welche 2016 in die DSGVO übertragen wurden. Zusätzlich wurde der Grundsatz der Verantwortung aus der Datenschutz-RL in die DSGVO überführt.

In einer Gesamtschau kann daher allein die Rechenschaftspflicht als neuer Grundsatz bezeichnet werden, obwohl auch dieser sich bereits aus der in der Datenschutz-RL beschriebenen Sorgfaltspflicht des Verantwortlichen ableiten ließ.

Welche Grundsätze gibt es für die Verarbeitung personenbezogener Daten?

Wer personenbezogene Daten verarbeitet, muss nicht nur die wichtigsten Grundsätze der DSGVO befolgen, sondern muss deren Einhaltung im Zweifel auch auf Anfrage der Aufsichtsbehörde nachweisen können. Im Folgenden daher zunächst ein Überblick, welche Datenschutzgrundsätze Art. 5 DSGVO überhaupt vorschreibt und was die jeweiligen Grundsätze bedeuten:

  • Datenminimierung
    Personenbezogene Daten müssen gemäß Art. 5 Abs. 1 lit. c) DSGVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden (= Grundsatz der Datenminimierung).
  • Zweckbindung
    Der Grundsatz der Zweckbindung wird in Art. 5 Abs. 1 lit. b) DSGVO näher beschrieben. Die Zwecke der Datenverarbeitung müssen dabei bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein. Eine Weiterverarbeitung zu anderen Zwecken ist gleichwohl möglich, sofern die Zwecke der Weiterverarbeitung nicht mit den ursprünglichen Erhebungszwecken unvereinbar sind und eine Rechtsgrundlage hierfür vorliegt.
  • Transparenz
    Der Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a) DSGVO soll insbesondere gewährleisten, dass die betroffene Person im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen kann. In Art. 12 ff. DSGVO wird der Grundsatz der Transparenz etwa durch Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person weiter präzisiert. Auch der Datenschutz durch Technik (Data protection by design) und datenschutzfreundliche Voreinstellungen (Data protection by default) sollen Transparenz gewährleisten (vgl. Art. 25 DSGVO, Erwägungsgrund 78). Hinzu kommen Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen (vgl. Art. 42 f. DSGVO, Erwägungsgrund 100).
  • Richtigkeit
    Interessant ist auch der Grundsatz in Art. 5 Abs. 1 lit. d) DSGVO, wonach personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht (vgl. etwa Art. 17 Abs. 1 lit. d) DSGVO) oder berichtigt (Art. 16 DSGVO) werden.
  • Speicherbegrenzung
    Nach der in Art. 5 Abs. 1 lit. e) DSGVO normierten Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck also nicht mehr erforderlich ist, so müssen die personenbezogenen Daten gelöscht (Art. 17 Abs. 1 lit. a) DSGVO) oder die Identifizierung der betroffenen Person aufgehoben werden. Ausnahmen ergeben sich bspw. für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke.
  • Rechenschaftspflicht
    Der Verantwortliche muss nach Art. 5 Abs. 2 DSGVO außerdem nachweisen können, dass er die dort genannten Datenschutzgrundsätze auch einhält. Dies bedeutet, dass der Verantwortliche auf Nachfragen der Aufsichtsbehörde in der Lage sein muss, die DSGVO-Konformität überzeigend belegen zu können.
  • Integrität & Vertraulichkeit
    Schließlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen, die insbesondere in Art. 32 DSGVO konkretisiert werden.
  • Rechtmäßigkeit
    Die Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a) DSGVO wird grundsätzlich in Art. 6 DSGVO näher konkretisiert. Die Verarbeitung von personenbezogenen Daten ist demnach rechtmäßig, wenn eine der in Art. 6 Abs. 1 lit. a) bis lit. f) DSGVO genannten Voraussetzungen vorliegt.
  • Treu und Glauben
    Die Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a) DSGVO ist rechtlich schwerer zu fassen und lässt sich im Allgemeinen nur am konkreten Einzelfall unter Berücksichtigung aller Umstände beurteilen. Hierbei geht es meist um die Frage, ob ein bestimmtes Verhalten als redlich bzw. anständig angesehen werden kann.

Welche rechtliche Stellung haben die Datenschutzgrundsätze?

Die Datenschutzgrundsätze haben eine übergeordnete Stellung, in dem sie nicht nur für sich selbst stehen und verbindlichen Charakter haben, sondern auch als Auslegungshilfe der anderen Vorschriften der DSGVO dienen. Genau genommen sind demnach auch alle anderen Artikel der DSGVO im Lichte der Grundsätze zu betrachten. Dennoch bedürfen die Grundsätze selbst teilweise einer Konkretisierung. So wird bspw. der Grundsatz der Transparenz durch Art. 13, 14 und 15 DSGVO näher konkretisiert und der Richtigkeitsgrundsatz wird durch das Recht auf Berichtigung näher ausgefüllt. Überdies wird der Grundsatz der Vertraulichkeit und Integrität in Art. 32 Abs. 1 S.2 lit. b) und Art. 28  Abs. 3 S. 2 lit b) DSGVO ebenfalls aufgegriffen.

Um den Ansprüchen der Datenschutzgrundsätze gerecht zu werden, sind somit auch die anderen Regelungen der DSGVO zu berücksichtigen. Eine sorgfältige Handhabung und Umsetzung der Grundsätze sind somit wichtig, gerade um Bußgelder zu vermeiden.

Risikobasierter Ansatz bei den Datenschutzgrundsätzen

Was ist der risikobasierte Ansatz?

In der DSGVO findet sich zwar keine Definition des risikobasierten Ansatzes jedoch findet man an mehreren Stellen Hinweise zum Inhalt des Risikobegriffs. So zeigt auch die DSK in ihrem Kurzpapier Nr. 18 ein Beispiel für eine mögliche Definition auf:

„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“

Ebenfalls verweist Art. 24 DSGVO darauf, dass der Verantwortliche sowohl die Eintrittswahrscheinlichkeit als auch die Schwere von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung beachten muss. Die Handhabung der Risikobewertung hierzu ist nochmals in Erwägungsgrund 76 dargestellt. Des Weiteren können Beispiele zu den Risiken, welchen Betroffene durch die Datenverarbeitung ausgesetzt sein können, aus den Erwägungsgründen 75 entnommen werden.

Greift der risikobasierte Ansatz bei den Datenschutzgrundsätzen?

Inwieweit dieser risikobasierte Ansatz jedoch auch auf die Datenschutzgrundsätze Anwendung findet oder diese beeinflusst, ist bis heute umstritten. Jedoch wäre es beinahe töricht zu behaupten diese hätten gar keinen Einfluss auf die Datenschutzgrundsätze. Auch wenn der risikobasierte Ansatz nicht direkt in Art. 5 normiert wurde und auch systematisch betrachtet erst in den Normen nach Art. 5 DSGVO integriert ist, sollte dieser bei der Verarbeitung personenbezogener Daten stets Berücksichtigung finden. Dies ergibt sich schon daraus, dass der Ansatz ebenfalls ein wichtiges Grundprinzip der DSGVO darstellt und an mehreren Stellen das Risiko für die Rechte und Freiheiten der Betroffenen aufgegriffen wird.

Können die Grundsätze für die Verarbeitung personenbezogener Daten eingeschränkt werden?

Die Grundsätze für die Verarbeitung personenbezogener Daten können nicht im Rahmen einer bloßen Abwägung zugunsten des Verantwortlichen eingeschränkt werden. Allerdings sind entsprechende Ausnahmen in der DSGVO explizit geregelt. So heißt es in der Öffnungsklausel des Art. 23 DSGVO, dass Art. 5 DSGVO im Wege von Gesetzgebungsmaßnahmen beschränkt werden kann, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die schützenswerte Güter, wie bspw. die nationale Sicherheit, die öffentliche Sicherheit oder den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen gewährleistet.

Der deutsche Gesetzgeber bediente sich der Öffnungsklausel und hat sowohl Beschränkungen hinsichtlich des Zweckbindungsgrundsatzes, in §§ 4, 23, 24 und 32 bis 36 BDSG, als auch bzgl. der Betroffenenrechte im BDSG geregelt.

Was droht bei einem Verstoß gegen die Datenschutzgrundsätze?

Die Nichteinhaltung der Datenschutzgrundsätze kann unangenehme Folgen haben. Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten können ein Bußgeld von bis zu 20.000.000 € oder – im Falle eines Unternehmens – von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sowie Maßnahmen der Aufsichtsbehörde nach sich ziehen (Art. 83 Abs. 5 lit. a) DSGVO).

Bereits verhängte Bußgelder für Verstöße gegen die Datenschutzgrundsätze

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) verhängte Anfang 2021 ein Bußgeld in Höhe von 300.000 € gegen die VfB Stuttgart 1893 AG. Grund hierfür war die fahrlässige Verletzung der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Die maßgebliche Verletzung des VfB lag in der Einbeziehung eines externen Dienstleisters, mit welchem kein nach Art. 28 DSGVO vorgeschriebener Auftragsverarbeitungsvertrag geschlossen wurde. Des Weiteren konnte mangels entsprechender Dokumentation auch eine vom LfDI BW angeforderte E-Mail nicht zu Nachweiszwecken vorgelegt werden. Letztlich fasste der LfDI BW diese Verletzungen als eine Verletzung des Grundsatzes der Rechenschaftspflicht zusammen und sah von der Verhängung eines noch höheren Bußgelds nur aufgrund der ausgeprägten Kooperationsbereitschaft des VfB ab.

In einem anderen Fall verhängte der Berliner Beauftragte für Datenschutz ein Bußgeld gegen die Deutsche Wohnen SE von insgesamt 14,5 Millionen Euro. Hintergrund war, dass Mieterdaten in einem Archivsystem, ohne Löschmöglichkeit gespeichert waren. Demnach wurden Mieterdaten, wie Gehaltsbescheinigungen und Kontoauszüge, teilweise noch Jahre nach Beendigung des Mietverhältnisses gespeichert. Hierin sah die Aufsichtsbehörde neben der Verletzung der Pflicht zum Datenschutz durch Technikgestaltung (Privacy by design) auch einen Verstoß gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO.

An diesen beiden Beispielen erkennt man unschwer die Bedeutung und Gewichtung, die die Aufsichtsbehörden den Datenschutzgrundsätzen beimessen und welche empfindlichen Sanktionen bei einer Missachtung der Grundsätze drohen.

Probleme mit dem Bestimmtheitsgrundsatz

Die Datenschutzgrundsätze des Art. 5 DSGVO sind teilweise sehr weit gefasst. Folglich müssen sie durch zusätzliche Vorschriften aus der DSGVO erst näher konkretisiert werden, um dem gebotenen Datenschutzniveau der DSGVO gerecht zu werden. Dies stellt nicht nur eine Herausforderung für den Verantwortlichen dar, sondern wirft auch Zweifel hinsichtlich der Bestimmtheit auf. Nach deutschem Verfassungsrecht als auch nach dem Unionsrecht gilt das strafrechtliche Bestimmtheitsgebot, welches auch für Bußgeldtatbestände herangezogen wird. Demnach kann jemand nur für eine Handlung oder ein Unterlassen mit einem Bußgeld bestraft werden, wenn aus der Vorschrift, gegen die verstoßen wurde, auch bestimmt genug hervorgeht, welche Handlung oder welche Art von Unterlassen überhaupt bußgeldbewährte Konsequenzen nach sich zieht. Unter Heranziehung dieser Überlegungen könnte man Art. 83 Abs. 5 lit. a) DSGVO somit als zu unbestimmt einstufen. Hierauf kann man sich jedoch nicht ausruhen, denn der EUGH stellt darauf ab, dass es genügt, wenn der Verantwortliche im Zweifel durch Auslegung erkennt, welche Handlung oder welches Unterlassen ein Bußgeld begründet.

Erst eine zunehmende Rechtsprechung zu dieser Thematik wird hier wohl in Zukunft mehr Klarheit ins Dunkel bringen. Bis dahin sind Verantwortliche jedoch gehalten Ihren Rechenschaftspflichten in angemessenem Umfang nachzukommen, um einem Verstoß der Datenschutzgrundsätze vorzubeugen und die Aufsichtsbehörden mit einer ordentlichen Dokumentation zu besänftigen.

Datenschutzgrundsätze als Herzstück der DSGVO

Wir haben gesehen, wie wichtig die Einhaltung und Beachtung der Datenschutzgrundsätze ist und dass diese sich nicht nur namentlich in Art. 5 der DSGVO wiederfinden, sondern letztlich mit allen Regelungen der DSGVO verwoben sind. Ihren hohen Stellenwert erkennt man nicht zuletzt an der Höhe der Bußgelder, die bei Verstößen gegen die Grundsätze bereits verhängt wurden. Auch wenn die Bestimmtheit der Normen fragwürdig ist, hindert dies die Aufsichtsbehörden bisher nicht an der Verhängung von Bußgeldern. Demnach sollten Verantwortliche die Grundsätze einhalten und umsetzen und gerade dem Grundsatz der Rechenschaftspflicht ein hohes Gewicht beimessen. Denn auch die beste Umsetzung der Grundsätze bringt nichts, wenn nicht angemessen dokumentiert wird und der Behörde am Ende kein Nachweis erbracht werden kann.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. „Treu und Glauben“, „berechtigtes Interesse“ und „öffentliches Interesse“: zu diesen schwer auslegbaren Rechtsbegriffen würde ich gerne mehr von den Expertinnen und Experten von Dr. Datenschutz lesen. ;-)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.