Grundlagen der DSGVO – Grundsätze und Rechenschaftspflicht

Lesezeit: ca. 4 Minuten


Wenn personenbezogene Daten verarbeitet werden, ist ab dem 25.05.2018 die DS-GVO zu beachten. Für eine rechtmäßige Datenverarbeitung formuliert die DS-GVO verschiedene Anforderungen. Es wird dabei zwischen „normalen“ personenbezogenen Daten und besonderen Kategorien personenbezogener Daten differenziert. Für „normale“ personenbezogene Daten erwartet die DS-GVO von dem Verantwortlichen, sprich von dem Unternehmen oder der öffentlichen Einrichtung, dass die in Art. 5 formulierten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Dabei stellt das Gesetz in Art. 5 Abs. 2 klar, dass der Verantwortliche für die Einhaltung dieser Grundsätze verantwortlich ist und deren Einhaltung nachweisen können muss.

Rechenschaftspflicht und Grundsätze der DSGVO

Unter den Grundsatz „Rechenschaftspflicht“ führt dies praktisch für alle Verantwortlichen zu einer neuen Situation. Bisher musste im Rahmen einer aufsichtsrechtlichen Überprüfung die Aufsichtsbehörde nachweisen, dass ein Verstoß gegen die datenschutzrechtlichen Vorschriften vorliegt. Nunmehr muss entsprechend der gesetzlich formulierten Rechenschaftspflicht der Verantwortliche die Einhaltung der DS-GVO nachweisen. Dies erfordert eine erheblich bessere Dokumentation, als dies vielfach bisher zu finden ist. Die Nichteinhaltung der verschiedenen Grundsätze aus Art. 5 ist ein Bußgeldtatbestand. Insoweit erweitert das neue Datenschutzrecht die bisherigen Dokumentationspflichten und wird in der Praxis dazu führen, dass datenschutzrechtliche Maßnahmen und Überprüfungen genauer intern erfasst werden.

Folgende Grundsätze sind nach der DS-GVO einzuhalten:

  • Grundsatz der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz,
  • Grundsatz der Zweckbindung,
  • Grundsatz der Datenminimierung,
  • Grundsatz der Richtigkeit,
  • Grundsatz der Speicherbegrenzung,
  • Grundsatz der Integrität und Vertraulichkeit.

Praxistipp:

In vielen Mustern für die Dokumentation der datenschutzrechtlichen Vorgänge ist nicht ausdrücklich hinterlegt, dass die Grundsätze dokumentiert abgeprüft werden. Wir empfehlen dies aber im Hinblick auf die Rechenschaftspflicht und empfehlen auch eine ausdrückliche Bewertung sowie Betrachtung, wie konkret die Grundsätze in der Datenverarbeitung angewandt werden.

In den Grundsätzen finden sich die bereits zuvor beschriebenen Informationspflichten wieder. Mit dem Grundsatz der Transparenz wird erwartet, dass personenbezogene Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Überraschend ist vielleicht der Grundsatz der Richtigkeit, der nunmehr eine Überprüfung der sachlichen Richtigkeit von Daten erwartet. Dies ist beispielsweise für Inkassounternehmen oder die Schufa eine nicht unerhebliche Herausforderung, gilt aber auch für alle Unternehmen und öffentliche Einrichtungen. Es sollen angemessene Maßnahmen getroffen werden, damit unrichtige Daten gelöscht oder berichtigt werden.

Vielfach finden sich in Unternehmen und in der öffentlichen Verwaltung noch „alte Programme“ und Fachanwendungen, die keine Löschungsmöglichkeiten von personenbezogenen Daten vorsehen. Eine solche Situation verstößt gegen Art. 5 Abs. 1 lit. e DS-GVO. Hier wird gesetzlich eine Speicherbegrenzung formuliert. Personenbezogene Daten dürfen nur solange gespeichert werden, wie dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dies heißt im Umkehrschluss, dass auf jeden Fall „irgendwann“ eine Löschung erfolgen muss. Software, die keine Löschung ermöglicht, ist zu ergänzen oder auszutauschen. Ein Verstoß gegen den Grundsatz der Speicherbegrenzung ist ebenfalls ein Bußgeldtatbestand und kann zu Schmerzensgeldansprüchen eines Betroffenen führen.

Rechtmäßigkeit der Verarbeitung gem. DSGVO

Neben den Grundsätzen ist in einer zweiten Stufe zu prüfen, ob nach Art. 6 DS-GVO eine Rechtmäßigkeit der Verarbeitung stattfindet. Das Gesetz formuliert, dass die Verarbeitung von personenbezogenen Daten nur rechtmäßig ist, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • es liegt eine Einwilligung vor,
  • die Verarbeitung ist für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich,
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
  • die Verarbeitung dient lebenswichtigen Interessen der betroffenen Person,
  • die Verarbeitung dient zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt,
  • die Verarbeitung dient zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.

Hier ist ebenfalls konkret und im Einzelfall zu prüfen, auf Basis welcher Rechtsgrundlage eine Verarbeitung der personenbezogenen Daten erfolgt. Für diesen rechtlichen Aspekt gilt ebenfalls das Prinzip der Rechenschaftspflicht. Außerdem ist die korrekte Rechtsgrundlage im Rahmen der Informationspflichten nach Art. 13 und Art. 14, wie oben geschildert (s. auch 2.2), zu veröffentlichen.

Insbesondere die Anwendung des Art. 6 Abs. 1 lit. f DS-GVO ist in der Praxis nicht einfach. Zwar gibt die DS-GVO mit dieser gesetzlichen Vorschrift dem Verantwortlichen einen gewissen Rahmen, innerhalb dessen eine Datenverarbeitung zulässig ist. Es ist aber ein dokumentierter Abwägungsvorgang zwischen den berechtigten Interessen des Verantwortlichen oder eines Dritten und den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person vorzunehmen. Die DS-GVO spricht insbesondere auch die Situation von Kindern an und erwartet eine genaue Prüfung, wessen Interessen Vorrang haben.

Wenn keine der o. g. Bedingungen erfüllt ist, ist die Datenverarbeitung unzulässig. Es braucht auf jeden Fall eine Rechtsgrundlage für eine Datenverarbeitung. Andernfalls drohen Bußgelder und Schadensersatzansprüche. Die Einhaltung der Grundsätze in Art. 5 und die Rechtmäßigkeit der Verarbeitung in Art. 6 DS-GVO ist dem Gesetzgeber besonders wichtig, was in der Festlegung der zweiten Bußgeldstufe bei Verstößen seinen Widerhall findet.

Besondere Kategorien von Daten gem. DSGVO

Für besondere Kategorien personenbezogener Daten, beispielsweise politische Meinungen, religiöse oder weltanschauliche Überzeugung oder Gesundheitsdaten sowie die weiteren in Art. 9 Abs. 1 DS-GVO aufgeführten Fälle, gelten zusätzliche Sonderregelungen. Hier ist im Einzelfall sehr genau zu prüfen, ob eine Verarbeitung zulässig ist. Art. 9 Abs. 1 DS-GVO geht bei besonderen Kategorien und besonders schützenswerten personenbezogenen Daten davon aus, dass eine Verarbeitung grundsätzlich untersagt ist. Hier formuliert der Gesetzgeber bewusst schärfer und lässt dann in einem eng zu verstehenden Ausnahmekatalog gemäß Art. 9 Abs. 2 eine Datenverarbeitung zu. Auch hier empfehlen wir mit Blick auf die Rechenschaftspflicht, eine genaue Überprüfung der Rechtsgrundlagen vorzunehmen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen