Die neue EU-Datenschutzgrundverordnung: Grundsätze der Datenverarbeitung
Ende Mai 2018 tritt das neue europäische Datenschutzrecht in Kraft, die DSGVO. In der heutigen Folge unserer Reihe zum Thema wollen wir Ihnen eine Übersicht über die in Art. 5 beschriebenen Grundsätze für die Verarbeitung personenbezogener Daten geben. Dies ist für die Praxis in den Unternehmen auch deshalb wichtig, weil Art. 5 Abs. 2 vorschreibt, dass „der Verantwortliche“ für die Einhaltung dieser Grundsätze verantwortlich ist und deren Einhaltung nachweisen können muss. „Der Verantwortliche“ ist die Bezeichnung, die die DSGVO für die Unternehmen und Behörden wählt, die die personenbezogenen Daten verarbeitet.
Der erste der insgesamt sechs Grundsätze lautet:
„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“.
Dies bedeutet nach dem Wortlaut der DSGVO, personenbezogene Daten müssen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“ (Art. 5 Abs. 1 Buchst. a).
Die „rechtmäßige Weise“ der Datenverarbeitung lässt sich herstellen, indem die von der DSGVO vorgegebenen Regeln für eine erlaubte Datenverarbeitung eingehalten werden. Die für die betroffene Person „nachvollziehbare Weise“ dürfte schon schwieriger zu bewerkstelligen sein. Welche Konsequenz hat dieser Grundsatz beispielsweise für ein Unternehmen, das auf Webseiten im Hintergrund Werkzeuge einsetzt, die in Sekundenschnelle beim Onlinekauf die Bonität des Bestellers prüfen.
Der zweite Grundsatz ist altbekannt und war in der Entwicklung der DSGVO heftig umstritten:
„Zweckbindung“.
Die Zweckbindung hängt eng mit der Anforderung zusammen, personenbezogene Daten nur für Zwecke zu verarbeiten, die nach der DSGVO auch erlaubt sind. Personenbezogene Daten müssen „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“.
Die Weiterverarbeitung für Archivzwecke, die im öffentlichen Interesse liegen, ist jedoch erlaubt, ebenso die Weiterverarbeitung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke. (Art. 5 Abs. 1 Buchst. b).
Beispiel: Ein im Sinne der DSGVO legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages. Erhebt und verarbeitet eine Bank Daten einer Person, die bei ihr ein Girokonto führt, ist die Bank berechtigt, alle für den Betrieb des Kontos notwendigen Informationen zu verarbeiten. Dazu gehören neben den Kontaktdaten des Kontoinhabers auch die Kontostände und möglicherweise eingeräumte Dispositionskredite. Hingegen ist die Bank nicht berechtigt, die Kontobewegungen im Einzelnen zu analysieren und daraus Werbemaßnahmen zu generieren. Dies geht über den ursprünglichen Zweck hinaus und benötigt die vorherige Zustimmung des Kontoinhabers.
Nachweisbar?
In der Praxis wird die Schwierigkeit in dem Nachweis der Einhaltung dieser Grundsätze liegen. Mit welchen praxistauglichen Mitteln soll ein Unternehmen darlegen, dass es sich mit seiner Datenverarbeitung an Recht und Gesetz hält? Mit welchen praxistauglichen Mitteln soll ein Unternehmen seine Datenverarbeitung für diejenigen, um deren Daten es geht, „nachvollziehbar“ machen? Hierzu wird der Schlüssel in der präzisen Dokumentation aller Verarbeitungsprozesse liegen, die personenbezogene Daten beinhalten. Vorstellbar ist ein Vorgehen nach dem Muster von Qualitätsmanagement, bei dem jeder Ablauf im Unternehmen in einen Prozess zerlegt, beschrieben und mit Vorgaben versehen wird, wie er abzulaufen hat.
Mit der Zweckbindung hängt der nächste von der DSGVO genannte Grundsatz zusammen, auch er unter neuer Bezeichnung altbekannt:
„Datenminimierung“, ehemals „Datensparsamkeit.
Alle personenbezogenen Daten, die erhoben werden, müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwenige Maß beschränkt sein“ (Art. 5 Abs. 1 Buchst. c).
Beispiel: Zum Zweck der Organisation eines Arbeitsverhältnisses darf nicht die Personalausweisnummer des Ehemannes der Arbeitnehmerin erhoben werden; sie wird für diesen Zweck nicht gebraucht.
Anders als es das Beispiel vermuten lässt, ist der Grundsatz der Zweckbindung im Unternehmensalltag allerdings oft höchst strittig. Je nach Blickwinkel lässt sich teilweise mit durchaus überzeugenden Argumenten eine sehr umfangreiche Erhebung und Verarbeitung personenbezogener Daten rechtfertigen, z.B. im Vertrieb.
Der vierte Grundsatz für die Verarbeitung personenbezogener Daten erschließt sich dagegen weitgehend von selber:
„Richtigkeit“.
Personenbezogene Daten müssen „sachlich richtig“ und „erforderlichenfalls auf dem neuesten Stand sein“. Dabei sind „alle angemessenen Maßnahmen zu treffen“, damit personenbezogene Daten, die unrichtig sind, „unverzüglich gelöscht oder berichtigt werden“. Welchen Daten richtig oder unrichtig sind, entscheidet sich anhand des Rückgriffs auf den Zweck (Art. 5 Abs. 1 Buchst. d).
Grundsatz Nummer fünf begrenzt die Erlaubnis zum Speichern von personenbezogenen Daten,
„Speicherbegrenzung“,
und erlaubt eine längere Speicherung, sofern die betroffene Person nicht mehr identifizierbar ist (Art. 5 Abs. 1 Buchst. e). Ausnahmen sind wiederum für Archiv- und Forschungszwecke sowie statistische Zwecke vorgesehen.
Der sechste und letzte Grundsatz schließlich greift die Verknüpfung von Recht und Technik wieder auf und verlangt eine Verarbeitung personenbezogener Daten nur in einer Weise, „die die angemessene Sicherheit der personenbezogenen Daten gewährleistet“, einschließlich des Schutzes vor „unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“. Zu treffen sind „geeignete technische und organisatorische Maßnahmen“, die diese Folgen verhindern sollen. Den Schutzzielen entsprechend heißt dieser Grundsatz:
„Integrität und Vertraulichkeit“
(Art. 5 Abs. 1 Buchst. f).
Auf diese am Anfang der DSGVO festgelegten Grundsätze lassen sich letztlich alle weiteren Vorschriften der Verordnung zurückführen. Die insgesamt 99 Artikel und 172 vorangestellte Erwägungsgründe formulieren diese Grundsätze aus und setzen sie in konkretere Handlungsanweisungen an die Unternehmen und Behörden um, für die die Verordnung zukünftig der Maßstab ihres Handelns in Bezug auf die Verarbeitung personenbezogener Daten sein wird.
(Bildquelle: www.europa.eu)