Grundsätze der Verarbeitung

Art. 5 Abs. 1 Buchst. a DSGVO legt fest, dass für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich ist. Diese Erlaubnistatbestände sind in Art. 6 und 9 DSGVO aufgelistet (Art. 9 bezieht sich auf besondere Kategorien personenbezogener Daten). Achtung: Die Verarbeitung von Daten nach Art. 9 DSGVO müssen in jedem Fall ihre Legitimation aus Art. 6 DSGVO ziehen. Auch die einzelnen Mitgliedsländer dürfen, wenn Öffnungsklauseln darauf Bezug nehmen, Rechtsgrundlagen schaffen. Der Grundsatz gilt für alle Verantwortlichen.

Ebenfalls in Art. 5 Abs. 1 Buchst. a DSGVO ist der Grundsatz einer Verarbeitung nach Treu und Glauben beschrieben. Das schließt zum Beispiel unfaire  Verhaltensweisen oder auch den Einsatz verborgener Techniken aus.

Somit kann zum Beispiel der geheime Einsatz von Videoüberwachung treuwidrig sein, nämlich dann, wenn gegenüber einer Belegschaft erklärt wird, dass sie zur Abwehr oder Aufklärung von Straftaten eingesetzt werden soll, tatsächlich aber der Überwachung und der Leistungsmessung dient.

Ebenso gilt eine Verarbeitung als treuwidrig, wenn es keinen legitimen Zweck dafür gibt oder wenn die Zwecke mit Mitteln erreicht werden sollen, die für die Zweckerzielung nicht angemessen, erforderlich oder geeignet sind.

Transparenz ist ein weiterer Grundsatz, der in Art. 5 Abs. 1 Buchst. a DSGVO fällt und die Zusammenhänge zwischen den Grundsätzen deutlich macht. Dieser Grundsatz setzt voraus, dass alle Informationen hinsichtlich der Verarbeitung personenbezogener Daten leicht erreichbar, verständlich und in klarer Sprache abgefasst sind.

Ausgangspunkt für die erhebliche Stärkung dieses Grundsatzes ist das Volkszählungsurteil des BVerfG vom 15.12.1983. Jede Bürgerin hat das Recht zu wissen, wo ihre Daten sind und was mit ihnen gemacht wird. Wenn dem Betroffenen eventuelle Rechtsverstösse nicht bekannt sind, kann er seine Rechte nicht geltend machen. Durch die DSGVO auf Basis der europäischen Grundrechtecharta ist dieses Recht jetzt in allen Ländern der Europäischen Union gültig. Erst die Offenlegung aller Rechte ermöglicht es einer betroffenen Person, Auskunfts-, Berichtigungs- und Löschungsansprüche geltend zu machen und ggf. auch für deren Nichteinhaltung Schadensersatz zu fordern.

Heimliche Verarbeitungen personenbezogener Daten sind demzufolge untersagt.

Nach Art. 5 Abs. 1 Buchst. b DSGVO dürfen personenbezogene Daten nur verarbeitet werden, wenn die Zwecke dafür festgelegt, eindeutig und rechtmäßig sind. Nicht vereinbarte Zweckänderungen sind nicht zulässig.

Um z. B. eine "erforderliche" Verarbeitung durchführen zu können, wie sie die Art. 6 und 9 DSGVO voraussetzen, wird in der Regel eine Zweck-Mittel-Betrachtung vorgenommen. Ein "eindeutiger" (konkreter, expliziter) Zweck darf nicht weit gefasst sein. Unklare Beschreibungen des Zwecks oder der Verarbeitung sind rechtswidrig.

Jede Datenverarbeitung muss gemäß Art. 5 Abs. 1 Buchst. c DSGVO auf das für die Verarbeitung notwendige Maß beschränkt sein. Diese Forderung bezieht sich nicht nur auf die Anzahl der verarbeiteten Daten, sondern auch auf die Anzahl der Nutzungen der Daten. Daten mit verschiedenen Bezeichnungen, die weitgehend die gleichen Informationen enthalten, sind demzufolge rechtswidrig. Ein weiterer Aspekt bezieht sich auf die Betroffenen, deren Anzahl ebenfalls auf das Notwendigste reduziert werden muss. Diese Anforderungen im Grundsatz werden auch durch Art. 25 DSGVO (Datenschutz durch Technikgestaltung) und Art. 32 DSGVO (Sicherheit der Verarbeitung) gewährleistet.

Art. 5 Abs. 1 Buchst. d verlangt, dass alle verarbeiteten Daten einer Person richtig und auf aktuellem Stand sind, also mit der Realität übereinstimmen. Der Verantwortliche hat dies aktiv zu überprüfen. Technische und organisatorische Maßnahmen (TOM) müssen in diesen Fällen sicherstellen, dass zum Beispiel unrichtige Dateneingaben oder Verarbeitungsschritte vermieden und das Risiko von Fehlern reduziert wird. Von Betroffenen herangetragene Änderungswünsche müssen geprüft und erst bei korrekten Angaben umgesetzt werden.

Speicherbegrenzung gemäß Art. 5 Abs. 1 Buchst. e DSGVO bezieht sich auf den zeitlichen Aspekt. Die Speicherung personenbezogener Daten soll nur solange andauern, wie sie für eine Verarbeitung erforderlich ist. Sind die Zwecke für die Verarbeitung nicht mehr gegeben, ist die Verarbeitung einzustellen. 

Ausnahmen können allerdings durch Gesetze wie die Abgabenordnung, Röntgen- oder Strahlenschutzgesetz, Handels- oder Sozialgesetzbuch etc. dazu führen, dass die Daten nicht sofort gelöscht werden dürfen. Diese Daten müssen separat abgelegt und geschützt werden, denn sie dürfen nach Ablauf der Zweckbindung nicht mehr in den betrieblichen Prozessen erscheinen.

Um dies sicherzustellen, soll der Verantwortliche ein Löschkonzept mit Löschfristen für seine Verarbeitungen einrichten und regelmäßige Überprüfungen vornehmen. Die Löschfristen sollen soweit möglich auch in das Verzeichnis der Verarbeitungstätigkeiten eingetragen werden.

Art. 5 Abs. 1 Buchst. f DSGVO verlangt eine Verarbeitung in einer Weise, die eine angemessene Sicherheit der personenbezogener Daten gewährleistet. Die Schutzeinrichtungen hierfür sollen zwei wesentliche Risiken berücksichtigen. Das sind erstens die unbefugte oder unrechtmäßige Verarbeitung und zweitens der unbeabsichtigte Verlust, die unbeabsichtigte Zerstörung oder die unbeabsichtigte Zerstörung von Daten.

Zum Schutz verlangt das Gesetz die Einrichtung geeigneter technischer und organisatorischer Maßnahmen (TOM). Konkret wird dies in Art. 32 DSGVO (Sicherheit der Verarbeitung) geregelt. Welche Maßnahmen konkret getroffen werden müssen, hängt wesentlich von den jeweiligen Risiken im Einzelfall ab.

Alle Prinzipien, deren Einhaltung der Art. 5 Abs. 1 DSGVO vom Verantwortlichen fordert, müssen gemäß Abs. 2 nachweislich eingehalten werden. Art. 24 Abs. 1 DSGVO konkretisiert diesen Grundsatz. Auch hier wird verlangt, dass geeignete TOM die datenschutzkonforme Verarbeitung sicherstellen sollen.

Die Maßnahmen sollen dabei die Risiken für die Rechte und Freiheit natürlicher Personen berücksichtigen, indem die Risiken nach Art, Umgang, Umstände und Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere zugeordnet werden. All dies muss, wie bereits gesagt, auch nachgewiesen werden, denn die Beweislast für eine datenschutzkonforme Verarbeitung liegt beim Verantwortlichen.