Grundsätze der Datenverarbeitung
Die Datenschutzgrundsätze für die Verarbeitung personenbezogener Daten sind in Artikel 5 Datenschutz-Grundverordnung (DSGVO) geregelt. Der in Artikel 5 Absatz 2 DSGVO geregelte Grundsatz der Rechenschaftspflicht schreibt darüber hinaus vor, dass der Verantwortliche auch über die Einhaltung der Grundsätze für die Verarbeitung Rechenschaft ablegen können muss (»accountability«).
Die Grundsätze im Einzelnen:
Nach Artikel 5 Absatz 1 Buchstabe a DSGVO müssen personenbezogene Daten transparent und nach Treu und Glauben verarbeitet werden. Nach dem Transparenzgebot muss die betroffene Person wissen, wer welche ihrer Daten für welchen Zweck verarbeitet. Daher gibt es etwa die Pflicht des Verantwortlichen zur Information der betroffenen Person auf der einen Seite und auf der Seite der betroffenen Person die vor allem in den Artikeln 12 bis 15 der Datenschutz-Grundverordnung geregelten Rechte, zum Beispiel das Auskunftsrecht, das Recht auf Berichtigung oder das Widerspruchsrecht.
Hinzu kommt der aus dem Zivilrecht bekannte Grundsatz von Treu und Glauben (§ 242 Bürgerliches Gesetzbuch). Unter diesen Grundsatz wird eine Vielzahl von Fallgruppen gefasst, zum Beispiel Rechtsmissbrauch oder widersprüchliches Verhalten. Das praktische Potential entfaltet sich vor allem an Stellen, an denen die Datenschutz-Grundverordnung nur sehr allgemeine oder gar keine Festlegungen trifft.
Der Grundsatz der Zweckbindung nach Artikel 5 Absatz 1 Buchstabe b DSGVO bedeutet im Wesentlichen, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.
Die Zwecke der Datenverarbeitung müssen bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein. Zudem sind grundsätzlich nur solche Änderungen des Verarbeitungszwecks erlaubt, die mit dem ursprünglichen Erhebungszweck vereinbar sind (siehe Artikel 5 Absatz 1 Buchstabe b sowie Artikel 6 Absatz 4 DSGVO). Dabei stellt die Datenschutz-Grundverordnung in Artikel 6 Absatz 4 Kriterien auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind. Hierzu zählen unter anderem die Verbindung zwischen den Zwecken, der Gesamtkontext, in dem die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Konsequenzen der zweckändernden Verarbeitung für den Betroffenen oder das Vorhandensein von angemessenen Sicherheitsmaßnahmen wie eine Pseudonymisierung oder Verschlüsselung. Dies führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung pseudonymisierter bzw. verschlüsselter Daten, was vor allem für datenschutzgerechte Big-Data-Anwendungen von Bedeutung ist.
Artikel 6 Absatz 4 der Datenschutz-Grundverordnung regelt die Voraussetzungen, unter denen eine zweckändernde Weiterverarbeitung personenbezogener Daten zulässig ist. Für den nicht-öffentlichen Bereich ist diese Vorschrift unmittelbar anwendbar. Im öffentlichen Bereich wird eine Zweckänderung stets auf einer Rechtsvorschrift oder – nachrangig – der Einwilligung des Betroffenen beruhen müssen. Eine solche Rechtsvorschrift ist § 4 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz, wonach eine zweckändernde Weiterverarbeitung zum Beispiel zur Verfolgung von Straftaten oder Ordnungswidrigkeiten zulässig ist. Ferner bestimmt § 3 Absatz 2 Sächsisches Datenschutzdurchführungsgesetz für den öffentlichen Bereich, dass eine Verarbeitung zu den Zwecken der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen, zur Prüfung und Wartung von automatisierten Verfahren, zu statistischen Zwecken sowie zu Aus-, Fort-, Weiterbildungs- und Prüfungszwecken, keine zweckändernde Datenverarbeitung ist, sondern diese Zwecke jeder Datenverarbeitung immanent sind. Eine diesbezügliche Verarbeitung ist damit zulässig, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.
Das Prinzip der Datenminimierung ist als eines der zentralen Prinzipien des Datenschutzes in Artikel 5 Absatz 1 Buchstabe c DSGVO geregelt. Danach muss die Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein.
Nach dem Prinzip der Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur solange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck also nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht (Artikel 17 Absatz 1 Buchstabe a DSGVO) oder die Identifizierung der betroffenen Person aufgehoben werden. Ausnahmen ergeben sich für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke (Artikel 5 Absatz 1 Buchstabe e DSGVO). Auch der Datenschutz durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sollen Datenminimierung gewährleisten (vgl. Artikel 25 DSGVO sowie Erwägungsgrund 78).
Verarbeitete personenbezogene Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden (Artikel 5 Absatz 1 Buchstabe d DSGVO). Die Datenschutz-Grundverordnung verknüpft den Datenschutz sehr stark mit der Technik. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht (etwa Artikel 17 Absatz 1 Buchstabe d DSGVO) oder berichtigt (Artikel 16 DSGVO) werden.
Schließlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die ihre angemessene Sicherheit gewährleistet (Artikel 5 Absatz 1 Buchstabe f DSGVO). Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen, die insbesondere in Artikel 32 DSGVO konkretisiert werden. Die Maßnahmen müssen im Verhältnis zum Risiko angemessen sein.
Geboten sein kann danach unter anderem eine Pseudonymisierung oder Verschlüsselung, sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten.
Nach Artikel 5 Absatz 2 DSGVO ist der Verantwortliche dafür verantwortlich, dass die Verarbeitungsgrundsätze des Artikels 5 Absatz 1 DSGVO eingehalten werde; darüber hinaus muss er nachweisen können, dass sie eingehalten werden.
Bei der Rechenschaftspflicht geht es darum, dass der Verantwortliche nachweisen können muss, dass er die Grundsätze der Datenverarbeitung personenbezogener Daten nach Artikel 5 Absatz 1 DSGVO einhält. Dies betrifft die Anforderungen der Rechtmäßigkeit und der Transparenz der Datenverarbeitung sowie der Verarbeitung der Daten nach Treu und Glauben, die Beachtung des Zweckbindungsgrundsatzes, des Grundsatzes der Datenminimierung, der Richtigkeit der Daten, der Speicherbegrenzung und der Integrität und Vertraulichkeit der Datenverarbeitung. Konkret bedeutet dies, dass alle datenschutzrechtlich relevanten Vorgänge nachvollziehbar, das heißt belegbar, sein müssen, also zu dokumentieren sind.