Verarbeitung personenbezogener Daten: Neue Grundsätze und Rechenschaftspflicht

PrintMailRate-it

Der europäische Gesetzgeber stellt in Art. 5 seiner Ver­ordnung eine Reihe von Grundsätzen voran, die bei der gesamten Verarbeitung personenbezogener Daten ein­zuhalten sind. Die im weiteren Verordnungstext de­tail­liert geregelten Anforderungen an die Daten­verarbeitung lassen sich hierauf zurückführen. Die Grundsätze gewähren daher einen ersten Überblick und geben v.a. die Zielrichtung der Verordnung wieder. Die dauerhafte Einhaltung der Grundsätze muss der für die Daten­ver­arbeitung Verantwortliche nachweisen können, andernfalls drohen Bußgelder von bis zu 20 Mio. Euro.
 

Datensparsamkeit und Rechtmäßigkeit

Im aktuellen Bundesdatenschutzgesetz (BDSG) ist lediglich der Grundsatz der Datensparsamkeit bereits ausdrücklich enthalten. Der künftige, vergleichbare Grundsatz der Datenminimierung sieht vor, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Datenverarbeitung ist damit als Ultima Ratio nur und nur so lange zulässig, wie andere Maßnahmen den Zweck nicht ohne die Verarbeitung personenbezogener Daten erreichen.

 

Damit einher geht der Grundsatz der Speicherbegrenzung, wonach die Daten jedenfalls in einer die betroffenen Personen identifizierenden Art und Weise nur so lange gespeichert werden dürfen, wie es für den Verarbeitungszweck erforderlich ist. Unabhängig von einem Recht der betroffenen Person auf Löschung seiner personenbezogenen Daten ist daher auch der Verantwortliche selbst verpflichtet, durch feste Löschroutinen nicht mehr erforderliche personenbezogene Daten zu vernichten. Insbesondere ist damit der Aufbau einer „Vorratsdatensammlung” unzulässig.

 

Die Datenverarbeitung muss zudem rechtmäßig sein. Das ist nur dann der Fall, wenn zumindest eine der abschließend aufgezählten Rechtsgrundlagen die Datenverarbeitung gestattet. Im Übrigen ist die Verarbeitung personenbezogener Daten unzulässig. Dies entspricht dem bisherigen „Verbot mit Erlaubnisvorbehalt” des BDSG.

 

Neue Grundsätze

Die Verarbeitung muss zudem nach Treu und Glauben und in einer transparenten, für die betroffene Person nachvollziehbaren Art und Weise erfolgen. Dafür ist auf die berechtigten Interessen und vernünftigen Erwartungen der betroffenen Person abzustellen und sind ihr gegenüber detaillierte Informationspflichten einzuhalten.

 

Vor einer Erhebung personenbezogener Daten ist vom Verarbeiter der Zweck der Verarbeitung eindeutig festzulegen. Die spätere Datenverarbeitung in einer mit diesem festgelegten Zweck nicht zu vereinbarenden Weise ist unzulässig (Zweckbindung), wobei die Voraussetzungen einer „Zweckänderung” nunmehr in Art. 6 Abs. 4 DSGVO geregelt sind.

      
Weiterhin müssen personenbezogene Daten – wenn ihre Speicherung denn überhaupt zulässig ist – sachlich richtig und aktuell sein (Richtigkeit). Hierfür hat der Verarbeiter personenbezogener Daten alle (!) angemessenen Maßnahmen zur Berichtigung oder alternativ zur Löschung zu ergreifen. Obwohl die betroffene Person auch einen ausdrücklichen Berichtigungsanspruch hat muss der Verarbeiter – ähnlich wie bei dem Grundsatz der Speicherbegrenzung und dem Recht auf Löschung – bereits von sich aus die Richtigkeit der Daten sicherstellen.

     

Durch geeignete technische und organisatorische Maßnahmen muss der Verantwortliche schließlich eine angemessene Sicherheit der personenbezogenen Daten gewährleisten, insbesondere vor einer unrechtmäßigen Verarbeitung und einem unbeabsichtigten Verlust (Integrität und Vertraulichkeit).

 

Rechenschaftspflicht

Der für die Datenverarbeitung Verantwortliche ist schließlich verpflichtet, die Einhaltung der dargestellten Datenschutzgrundsätze sicherzustellen und muss die Einhaltung  nachweisen (Rechenschaftspflicht). Insbesondere die Nachweispflicht birgt ein erhebliches Risikopotenzial: Der Verantwortliche muss nicht nur die die Erhebung und Verarbeitung personenbezogener Daten im Unternehmen daraufhin überprüfen, ob sie anhand der Datenschutzgrundsätze und der weiteren detaillierten Regelungen der Verordnung zu irgendeinem Zeitpunkt rechtmäßig erfolgen. Zum Nachweis der Einhaltung der Grundsätze wird er vielmehr regelmäßige Kontrollen durchführen und deren Ergebnisse dokumentieren müssen.

 

Ein Verstoß gegen die Datenschutzgrundsätze und damit auch gegen die Rechenschaftspflicht kann mit einem Bußgeld i. H. v. bis zu 20 Mio. Euro geahndet werden.

 

Fazit

Die Datenschutzgrundsätze geben einen Anhaltspunkt für die bei der Verarbeitung personenbezogener Daten zwingend einzuhaltenden Pflichten. Die dauerhafte Einhaltung und dessen Nachweis muss vom Verarbeiter sichergestellt werden.

     

zuletzt aktualisiert am 10.08.2016

Kontakt

Contact Person Picture

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht

Associate Partner

+49 3641 4035 30

Anfrage senden

Profil

 Wir beraten Sie gern!

 Wirtschaftsmagazin

Deutschland Weltweit Search Menu