Was sind die Bedingungen für die Durchführung der Verarbeitung?
Home » Datenschutz verstehen » Was sind die Bedingungen für die Durchführung der Verarbeitung?

Die Verarbeitung personenbezogener Daten zu rechtmäßigen und legitimen Zwecken ist somit zulässig, allerdings nur unter bestimmten Bedingungen. Im Folgenden werden diese Bedingungen ausführlicher beschrieben.

Der Grundgedanke dieser Bedingungen besteht darin, die Macht der Organisation, die personenbezogene Daten verarbeitet (die sogenannten Verantwortlichen), gegenüber den Betroffenen (den sogenannten betroffenen Personen) zu begrenzen und auszugleichen.

Im Überblick wird dies auf folgende Weise erreicht:

  • Rechenschaftspflicht des Verantwortlichen
  • Befähigung der betroffenen Personen
  • Machtgleichgewicht durch eine Aufsichtsbehörde
  • die Einschränkung, dass die Verantwortlichen die erlangte Macht ausschließlich zur Erreichung der erklärten rechtmäßigen Zwecke nutzen dürfen
  • Beschränkung der erlangten Macht auf das zur Erfüllung der rechtmäßigen Zwecke erforderliche Mindestmaß
  • Schutz der Investitionen und des Vermögens der betroffenen Personen
  • Verbot von Verarbeitungen, die nicht mit dem Zweck vereinbar sind

Die einzelnen Aufzählungspunkte werden in den folgenden Abschnitten näher erläutert.

Verantwortliche sind voll rechenschaftspflichtig

Eine erste Maßnahme zur Begrenzung der Macht der Verantwortlichen besteht darin, sie in vollem Umfang für die gesamte Verarbeitungstätigkeit verantwortlich zu machen. Dies ist einer der wichtigsten Grundsätze der Datenschutz-Grundverordnung (siehe Art. 5 Absatz 2). Er geht über die bloße Verpflichtung der Verantwortlichen hinaus, ihre Verarbeitung(gegenüber den betroffenen Personen und den Aufsichtsbehörden) transparent[1]zumachen. Vielmehr sind die Verantwortlichen verpflichtet, die Einhaltung der Datenschutz-Grundverordnung tatsächlich nachzuweisen. Dadurch wird die Verarbeitung klar für die Aufsicht geöffnet. Außerdem wird die „Beweislast“ eindeutig zugewiesen: Nicht die betroffenen Personen oder die Aufsichtsbehörden müssen einen Verstoß gegen die DSGVO nachweisen; Intransparenz, die eine Nichteinhaltung bedeutet, ist an sich schon ein Verstoß.

Um dies in der Praxis zu erreichen, stellt die Datenschutz-Grundverordnung in einem ersten Schritt sicher, dass die volle Verantwortung eindeutig bei dem/den (gemeinsamen) Verantwortlichen liegt, der/die die Zwecke und Mittel der Verarbeitung bestimmt/bestimmen[2]. Dies geschieht beispielsweise dadurch, dass die Verantwortlichen verpflichtet werden, ihre Mitarbeiter zu kontrollieren[3], und dass Verträge[4] mit möglichen externen Rechenzentren (sogenannten Auftragsverarbeitern) abgeschlossen werden, die eine Kontrolle bis hin zum Recht auf Vor-Ort-Prüfungen durch den Verantwortlichen gewährleisten.[5]

Sobald die Verantwortung geklärt ist, sind die Verantwortlichen verpflichtet, die Verarbeitung völlig transparent zu gestalten. Dazu gehört, dass sie die betroffenen Personen proaktiv über die Existenz und die wichtigsten Merkmale der Verarbeitung informieren[6]und auf Anfrage weitere Informationen bereitstellen[7]. Für den letztgenannten Zweck müssen die Verantwortlichen in der Regel auch einen Datenschutzbeauftragten benennen[8], dessen Kontaktdaten Teil der vorgeschriebenen Informationen sind[9]und der als Kontaktstelle für die betroffenen Personen dient[10].

Darüber hinaus müssen die Verantwortlichen sowohl die zuständige Aufsichtsbehörde[11]als auch (bei wahrscheinlich hohem Risiko) die betroffenen Personen über Datenschutzverletzungen informieren[12].Darüber hinaus müssen die Verantwortlichen für die Aufsichtsbehörden Verzeichnisse über alle Verarbeitungstätigkeiten, die personenbezogene Daten[13] betreffen, führen und in der Lage sein, eine Datenschutz-Folgenabschätzung für Verarbeitungstätigkeiten vorzulegen, die wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen[14]. Letztere ist ein wichtiges Instrument, um die Einhaltung der DSGVO nachzuweisen.

Befähigung der betroffenen Personen

Da bei der Datenverarbeitung ein Machtungleichgewicht besteht, stärkt die Datenschutz-Grundverordnung die schwächere Partei, d. h. die betroffenen Personen. Dadurch werden die betroffenen Personen von machtlosen Beobachtern der Verarbeitung zu Beteiligten, die ihre Rechte und Freiheiten durch Intervention verteidigen können.

Die Datenschutz-Grundverordnung stärkt die Rechte der betroffenen Personen vor allem durch die so genannten Rechte der betroffenne Person[15]. Dazu gehören die Folgenden[16]:

  • Das Recht auf Auskunft[17] über die verarbeiteten Daten der betroffenen Person,
  • das Recht auf Berichtigung[18], das es erlaubt, unrichtige personenbezogene Daten zu berichtigen und unvollständige Daten zu ergänzen,
  • das Recht auf Löschung[19], das auch das Recht auf Vergessenwerden genannt wird,
  • das Recht auf Einschränkung der Verarbeitung[20], das es den betroffenen Personen ermöglicht, unter bestimmten Umständen die Einstellung der Verarbeitung ihrer Daten zu verlangen[21].
  • das Widerspruchsrecht[22], das es den betroffenen Personen ermöglicht, unter bestimmten Umständen die Einstellung der Verarbeitung ihrer Daten zu verlangen.
  • das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt[23], einschließlich des Rechts auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen[24].

Über diese Rechte hinaus haben die betroffenen Personen weitere Rechte:

  • Das Recht, die Einwilligung jederzeit zu widerrufen[25], wenn die Rechtsgrundlage der Verarbeitung die Einwilligung ist [26].
  • Das Recht, von dem Verantwortlichen darüber informiert zu werden, wie die Geltendmachung der Rechte der betroffenen Person an alle Empfänger weitergegeben wird[27].

Machtausgleich durch die Einrichtung von Aufsichtsbehörden

Obwohl die betroffenen Personen durch die oben genannten Rechte gestärkt werden, reichen ihre Mittel möglicherweise nicht aus, um sie durchzusetzen. Insbesondere können sie sich außerstande sehen, von ihremRecht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen Verantwortlichen oder einen Auftragsverarbeiter[28] selbst Gebrauch zu machen. Aus diesem Grund räumt die Datenschutz-Grundverordnung den betroffenen Personen das Recht ein, eine Beschwerde bei einer Aufsichtsbehörde[29] einzureichen.

Mit anderen Worten: Die DSGVO gibt den betroffenen Personen einen Verbündeten an die Hand, dessen Macht mit der des Verantwortlichen vergleichbar sind oder darüber hinausgeht und somit ausreicht, um die Rechte der betroffenen Personen durchzusetzen.

Die Datenschutz-Grundverordnung räumt den Aufsichtsbehörden daher entsprechende Befugnisse ein[30].Diese reichen von Untersuchungsbefugnissen[31]wie Audits vor Ort[32]bis hin zu Abhilfebefugnissen[33] wie die Verhängung von Geldbußn[34], die Anordnung der Aussetzung der Übermittlung von Daten an die Empfänger[35] und die Verhängung eines vollständigenVerbots der Verarbeitung[36].

Beschränkung der Verantwortlichen darauf, die Macht ausschließlich zur Erreichung der erklärten rechtmäßigen Zwecke zu nutzen

Durch den Nachweis, dass die Zwecke legitim und rechtmäßig sind, hat ein Verantwortlicher den mit der Verarbeitungstätigkeit verbundenen Machtzuwachs gerechtfertigt. Es liegt auf der Hand, dass die Nutzung dieser Macht für andere Zwecke nicht gerechtfertigt wäre. Mit anderen Worten, die Erlaubnis zur Verarbeitung ist auf die erklärten Zwecke, für die die Daten erhoben werden, beschränkt.

Die Datenschutz-Grundverordnung nennt diesen Grundsatz „Zweckbindung“(siehe Art. 5 Absatz 1 Buchstabe b).

Die technische und organisatorische Umsetzung dieses Grundsatzes erfolgt durch die Trennung verschiedener Verarbeitungstätigkeiten.

Als zweite Verteidigungslinie gilt: Selbst wenn Daten aus verschiedenen Verarbeitungstätigkeiten zusammenkommen, können Maßnahmen wie die Pseudonymisierung eine tatsächliche Kombination durch die Verknüpfung von Datensätzen, die sich auf dieselbe Person beziehenerschweren.

Beachten Sie, dass diese Regel auch die Anhäufung von Macht durch die Kombination von Daten aus verschiedenen Verarbeitungstätigkeiten verhindert. Eine solche Kombination würde typischerweise zu einem tieferen Einblick in das Leben der betroffenen Personen führen, der mehr Aspekte abdeckt, oder zu einer breiteren Abdeckung von Wissen, das eine größere Anzahl von betroffenen Personen umfasst. In beiden Fällen kann argumentiert werden, dass die kombinierte Macht größer ist als die Summe ihrer Teile.

Beschränkung der Macht auf das zur Erfüllung der erklärten Ziele erforderliche Maß

Während der Nachweis der Legitimität und Rechtmäßigkeit der Zwecke die Verarbeitung als solche gerechtfertigt hat, muss sie so durchgeführt werden, dass der Machtzuwachs auf das zur Erfüllung dieser Zwecke notwendige Mindestmaß beschränkt wird. Diese Minimierung der Macht betrifft die folgenden drei Aspekte:

  • Informationsgehalt der personenbezogenen Daten
  • Grad der Verknüpfung der Daten mit der betroffenen Person und
  • Begrenzung der Empfänger, die Zugang zur Macht haben.

Diese werden im Folgenden ausführlicher beschrieben.

Minimierung des Informationsgehalts (d. h. der Macht)

Da Wissen Macht ist, bedeutet die Minimierung der Macht, dass die erhobenen personenbezogenen Daten auf ein Minimum beschränkt werden müssen. Nur die Daten, die nachweislich für die Erfüllung der erklärten Zwecke erforderlich sind, können rechtmäßig erhoben werden.

Die Datenschutz-Grundverordnung nennt diesen Grundsatz „Datenminimierung“(siehe Art. 5 Absatz 1 Buchstabe c). Konkret verlangt sie, dass die erhobenen Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind.Bei einer zeitlichen Betrachtung wird außerdem verlangt, dass die Daten nicht länger als für die Zwecke erforderlich gespeichert werden.Bei komplexeren Verarbeitungen mit mehreren Phasen sollte jede Phase nur die wirklich notwendigen Daten enthalten, wobei der Informationsgehalt zwischen den Phasen zu reduzieren ist.

Minimierung der Verbindung zur betroffenen Person

Die Leichtigkeit, mit der Macht über die betroffene Person ausgeübt werden kann, hängt davon ab, inwieweit die betroffene Person mit den Daten in Verbindung gebracht werden kann.Die Stärke der Verbindung zwischen Daten und der betroffenen Person sollte daher so gering wie möglich gehalten werden.

Die Datenschutz-Grundverordnung unterscheidet zwischen drei Arten von Daten mit unterschiedlichem Grad der Verknüpfung:

  • Vollständig identifizierende Daten,
  • pseudonymisierte Daten und
  • anonymisierte Daten.

Ersteres erlaubt die „direkte Identifizierung“[37] der betroffenen Person durch die Zuordnung zu einer „Kennung“wie einem Namen, zu einer Kennnummer, zu Standortdaten [oder] zu einer Online-Kennung“[38]; pseudonymisierte Daten erlauben die Identifizierung nur durch die Verwendung „zusätzlicher Informationen“[39]; und anonyme Daten, bei denen „die betroffene Person nicht oder nicht mehr identifiziert werden kann[40].

Analog zur Datenminimierung sind die Daten so zu erheben, dass sie möglichst wenig mit der betroffenen Person in Verbindung gebracht werden. Im Hinblick auf den zeitlichen Aspekt gilt: „Personenbezogene Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“[41].Im Falle einer komplexeren Verarbeitung mit mehreren Phasen sollte jede Phase nur den minimalen Grad an Assoziation aufweisen, der wirklich notwendig ist, und zwischen den Phasen sollte eine Pseudonymisierung oder Anonymisierung verwendet werden.

Die Datenschutz-Grundverordnung nennt diesen Grundsatz „Speicherbegrenzung“(siehe Art. 5(1)(e)).

Beschränkung des Zugangs zur Macht

Die Macht liegt in den Händen von Personen und Organisationen. Wenn Wissen Macht ist, steht diese Macht nur denjenigen zur Verfügung, denen die personenbezogenen Daten offengelegt werden. In der Datenschutz-Grundverordnung werden diese Parteien als Empfänger bezeichnet[42]. Dabei kann es sich entweder um Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters, um beabsichtigte Drittempfänger oder um unbeabsichtigte Parteien wie Angreifer handeln.

Der Zugriff auf die Daten muss auf das beschränkt sein, was zur Erfüllung der erklärten Zwecke erforderlich ist. Die Datenschutz-Grundverordnung nennt diesen Grundsatz „Vertraulichkeit“[43].

Die Vertraulichkeit hat zwei Aspekte:

  • Verhinderung des Zugriffs durch Unbefugte und
  • Beschränkung des Zugriffs auf autorisierte Parteien.

Ersteres schützt weitgehend vor externen Angreifern mit Maßnahmen wie der Verschlüsselung von Daten im Ruhezustand oder von Kommunikationen mit Firewalls. Letzteres wird gewöhnlich als Zugangskontrolle bezeichnet. Sie stellt sicher, dass derjenige, der auf die Daten zugreift, tatsächlich berechtigt ist (Authentifizierung), beschränkt den Zugriff auf die Daten, die benötigt werden (Zugriffsrechte) und kann den Zugriff auf die Zeiten beschränken, in denen er notwendig ist.

Schutz des Vermögens der betroffenen Person

Bei vielen Arten von Verarbeitungstätigkeiten sind die vom Verantwortlichen gespeicherten personenbezogenen Daten auch für die betroffene Person von erheblichem Wert. Paradebeispiele sind Cloud-basierte Fotosammlungen, Office-Suiten und Dokumentenmanagementsysteme, aber auch medizinische Daten, die beim Arzt eines Patienten gespeichert sind. Wir bezeichnen solche Daten als Vermögenswerte.

Diese Vermögenswerte können für den Verantwortlichen von weitaus geringerem Wert sein, der somit möglicherweise zögert, erheblich in ihren Schutz zu investieren. Eine Möglichkeit, wie ein Verantwortlicher Macht über eine betroffene Person ausüben kann, besteht auch darin, den Zugang zu den Vermögenswerten der betroffenen Person von bestimmten Bedingungen abhängig zu machen.

Um eine solche Machtausübung zu verhindern, verpflichtet die Datenschutz-Grundverordnung die Verantwortlichen, die Vermögenswerte der betroffenen Personen zu schützen. Sie verlangt insbesondere, dass diese Vermögenswerte geschützt werden vor:

  • uunbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung[44] und
  • der Weigerung, der betroffenen Person die Nutzung der Vermögenswerte unabhängig von dem Verantwortlichen zu gestatten.

Die erste Art des Schutzes wird auch als Verfügbarkeit und Belastbarkeit[45] bezeichnet. Letzteres wird als Datenübertragbarkeit bezeichnet und ist eines der Rechte[46] der betroffenen Person.

Verbot von Verarbeitungen, die nicht für den Zweck geeignet sind

Die Erlangung von Macht durch eine Verarbeitung, die nicht geeignet ist, die erklärten Zwecke zu erfüllen, ist offensichtlich unrechtmäßig.

Die Datenschutz-Grundverordnung verwendet zwei Grundsätze zur Durchsetzung der Zweckmäßigkeit:

  • Integrität (siehe Art. 5 Absatz 1 Buchstabe f) und
  • Genauigkeit (siehe Art. 5 Absatz 1 Buchstabe d).

Erstere schreibt vor, dass die Daten vor unbeabsichtigter Schädigungoder nicht genehmigter Änderung zu schützen sind, Letztere dagegen, dass die Daten auf dem neuesten Stand und richtig sein müssen und dass sie anderenfalls unverzüglich zu löschen oder zu berichtigen sind.

 

Quellenangaben

1Beachten Sie, dass Transparenz auch ein Grundsatz der Datenschutz-Grundverordnung ist, siehe Art. 5 Abs. 1 Buchstabe a.

2Siehe Art.4 Absatz 7DSGVO.

3Siehe Art. 29 und 32 Absatz 4DSGVO.

4Siehe Art. 28 Absatz 3DSGVO.

5Siehe Art. 28 Absatz 3 Buchstabe hDSGVO.

6Siehe Art. 13 und 14 DSGVO.

7Siehe zum Beispiel Art. 15 12 Absatz 3 und 19 DSGVO.

8Siehe Art. 37 DSGVO.

9Siehe Art. 13 Absatz 1 Buchstabe b und 14 Absatz 1 Buchstabe bDSGVO.

10Siehe Art. 38 Absatz 4DSGVO.

11Siehe Art. 33 DSGVO.

12Siehe Art. 34 DSGVO.

13Siehe Art. 30 DSGVO.

14Siehe Art. 35 DSGVO.

15Siehe Kapitel 3 DSGVO, das die Artikel 12 bis 23 umfasst.

16Beachten Sie, dass das Recht auf Datenübertragbarkeit im Abschnitt über den Schutz des Vermögens der betroffenen Person behandelt wird.

17Siehe Art. 15 DSGVO.

18Siehe Art. 16 DSGVO.

19Siehe Art. 17 DSGVO.

20Siehe Art. 18 DSGVO.

21Diese Umstände sind in Art. 18 Absatz 1DSGVOaufgeführt.

22Siehe Art. 21 DSGVO.

23Siehe Art. 22 DSGVO.

24Siehe Art. 22 Absatz 3DSGVO.

25Siehe Art. 7 Absatz 3DSGVO.

26Siehe Art. 6 Absatz 1 Buchstabe a und 9 Absatz 2 Buchstabe aDSGVO.

27Siehe Art. 19 DSGVO, zweiter Satz.

28Siehe Art. 79 DSGVO.

29Siehe Art. 77 DSGVO.

30Siehe Art. 58 DSGVO.

31Siehe Art. 58 Absatz 1DSGVO.

32Siehe Art. 58 Absatz 1 Buchstabe b und f DSGVO.

33Siehe Art. 58 Absatz 2DSGVO.

34Siehe Art. 58 Absatz 2 Buchstabe i DSGVO.

35Siehe Art.58 Absatz 2 Buchstabe j DSGVO.

36Siehe Art.58 Absatz 2 Buchstabe f DSGVO.

37Dieser Begriff wird in Art. 4 Absatz 1DSGVO.

38Diese Formulierung stammt aus Art. 4 Absatz 1DSGVO.

39Beachten Sie, dass dieser Begriff in Art. 4 Absatz 5 DSGVO verwendet wird, der die Definition für Pseudonymisierung enthält.

40Diese Formulierung ist dem 5. Satz von Erwägungsgrund 26 der Datenschutz-Grundverordnung entnommen.

41Diese Formulierung stammt aus Art. 5 Absatz 1 Buchstabe e DSGVO.

42Siehe Art. 4(9).

43Siehe Art. 5 Absatz 1(f).

44Siehe Art. 5 Absatz 1(f) DSGVO.

45Siehe Art. 32 Absatz 1 Buchstabe b und (c) DSGVO.

46Siehe Art. 20 DSGVO.

 

Skip to content