Grundsätze der DSGVO

In Art. 5 Abs. 1 führt die DSGVO sogenannte Grundsätze auf. Diese können als eine Art „Grundregeln“ für die Verarbeitung personenbezogener Daten angesehen werden und helfen insbesondere bei der Auslegung der Verordnung.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten müssen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffenen Person nachvollziehbaren Weise“1 verarbeitet werden. Mit dem Gebot der Rechtmäßigkeit wird darauf abgezielt, dass jede Datenverarbeitung einer Einwilligung der betroffenen Person, oder einer anderen Rechtsgrundlage bedarf (vgl. Art. 6 Abs. 1 DSGVO). Das Gebot der Transparenz soll die heimliche Datenverarbeitung ausschließen und darüber hinaus gewährleisten, dass die betroffene Person umfassend über die Verarbeitung ihrer pbD informiert wird. Die Vorgabe nach Treu und Glauben ist schließlich als Auffangtatbestand zu verstehen. Dieser greift, sobald die Verarbeitung, trotz Einhaltung aller datenschutzrechtlichen Vorgaben im Einzelfall für die betroffene Person unverhältnismäßig ist.

Zweckbindung

Gemäß des Grundsatzes der Zweckbindung dürfen personenbezogene Daten grundsätzlich nur „…für festgelegte, eindeutige und legitime Zwecke erhoben“2 und verarbeitet werden. Eine Weiterverarbeitung darüber hinaus ist lediglich, für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche, historische sowie statistische Zwecke vereinbar.

Datenminimierung

Seit jeher hat das Datenschutzrecht die Zielvorgabe, keine (Datenvermeidung) oder möglichst wenige (Datensparsamkeit) personenbezogene Daten zu verarbeiten. Dem entspricht der in der DSGVO festgelegte Grundsatz der Datenminimierung, wonach personenbezogene Daten „…dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“3 sein müssen. Dazu zählt auch, dass der Verantwortliche durch technische Voreinstellungen dafür sorgen muss, dass ausschließlich für die Verarbeitung essenzielle Daten gesammelt werden.

Richtigkeit

Personenbezogene Daten müssen „…sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.“4 Die Einschränkung des „erforderlichenfalls“ bei der Aktualität der Daten meint, dass die Informationen überwiegend den Zustand zu einem bestimmten Zeitpunkt dokumentieren sollen. Weiterhin muss der Verantwortliche nach dem Grundsatz der Richtigkeit „…alle angemessenen Maßnahmen“ treffen, damit unrichtige Daten unverzüglich gelöscht oder berichtigt werden.

Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung normiert eine zeitliche Grenze für die Datenverarbeitung. Demnach müssen personenbezogene Daten „…in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“5 Sobald die Kenntnis der pbD nicht mehr erforderlich ist, muss die Speicherung der Daten beendet werden. Eine Ausnahme diesbezüglich gibt es, wie bei der Zweckbindung, für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche, historische sowie statistische Zwecke.

Integrität und Vertraulichkeit

Die Vorgaben der Integrität und Vertraulichkeit zielen auf die sog. Datensicherheit ab. Demnach sollen personenbezogene Daten so verarbeitet werden, dass „…eine angemessene Sicherheit der personenbezogenen Daten gewährleistet“6 ist. Während es beim „Datenschutz“ allgemein um den Schutz des Persönlichkeitsrechts des Einzelnen im Umgang mit seinen personenbezogenen Daten geht, handelt es sich bei „Datensicherheit“ speziell um den technischen Datenschutz. So soll durch technisch und organisatorische Maßnahmen der „Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ der Daten gewährleistet werden.

Wichtig: Für die Einhaltung der aufgeführten Grundsätze ist gemäß Art. 5 Abs. 2 DSGVO  der Verantwortliche zuständig. Darüber hinaus muss er die Einhaltung nachweisen können („Rechenschaftspflicht“).

1 Vgl. Art. 5 (1) lit. a DSGVO
2 Vgl. Art. 5 (1) lit. b DSGVO
3 Vgl. Art. 5 (1) lit. c DSGVO
4 Vgl. Art. 5 (1) lit. d DSGVO
5 Vgl. Art. 5 (1) lit. e DSGVO
6 Vgl. Art. 5 (1) lit. f DSGVO