Bud Bruegger (ULD)
Danksagung:Die Autoren danken Giuseppe D’Acquisto, Senior Technology Advisor, italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali), für die Überprüfung und die Anregungen. |
Dieser Abschnitt der Leitlinien wurde von José Luis Piñar, ehemaliger Präsident der spanischen Datenschutzbehörde und derzeit Cátedra Google on Privacy, Society and Innovation Universidad CEU-San Pablo, Madrid, validiert.
Der obige Abschnitt Datenschutz verstehen: Die EU-Verordnung in Kurzformhat einen Überblick über die DSGVO gegeben. Darin wurden auch die Datenschutzgrundsätze vorgestellt, die in Kapitel 2 „Grundsätze“ der DSGVO und dort insbesondere in Art. 5 „Grundsätze für die Verarbeitung personenbezogener Daten“ enthalten sind. Während „Datenschutz verstehen: Die EU-Verordnung in Kurzform” eine Struktur gewählt hat, die dem Inhalt der Datenschutz-Grundverordnung in Bezug auf die Machtfolgt, folgt der vorliegende Abschnitt der Struktur von Art. 5 DSGVO. Er erörtert jeden Grundsatz im Detail.
Die Grundsätze weisen die folgende Struktur auf:
- Bedingungen für die Zwecke der Verarbeitung:Welche Art von Zwecken mit der Verarbeitung personenbezogener Daten verfolgt werden dürfen, ist in Art. 5 Absatz 1 Buchstabe aund 5 Absatz 1 Buchstabe bDSGVO beschrieben.Die Verarbeitung personenbezogener Daten für Zwecke, die diese Bedingungen nicht erfüllen, ist nicht zulässig.Die Bedingungen sind:
- Rechtmäßigkeit (Art. 5 Absatz 1 Buchstabe aDSGVO);
- Legitimität(Art. 5 Absatz 1 Buchstabe b DSGVO).
- Bedingungen für die Durchführung der Verarbeitung:Wenn der Zweck die oben genannten Kriterien erfüllt, muss die Durchführung der Verarbeitung zusätzlich bestimmte Bedingungen erfüllen, um zulässig zu sein.Diese sind in Art. 5 Absatz 1 Buchstabe a bis 5 Absatz 1 Buchstabe f beschrieben, und zwar muss die Verarbeitung:
- nach Treu und Glauben erfolgen (Art. 5 Absatz 1 Buchstabe aDSGVO);
- transparent sein (Art. 5 Absatz 1 Buchstabe aDSGVO);
- auf die angegebenen Zwecke beschränkt sein (Art. 5 Absatz 1 Buchstabe bDSGVO);
- auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Absatz 1 Buchstabe cDSGVO);
- nur sachlich richtige Daten verwenden (Art. 5 Absatz 1 Buchstabe dDSGVO);
- die Identifizierung der betroffenen Personennur so lange ermöglichen, wie es für die Zweckeerforderlich ist (Art. 5 Absatz 1 Buchstabe eDSGVO);
- eine angemessene Sicherheit gewährleisten (Art. 5 Absatz 1 Buchstabe fDSGVO).
Darüber hinaus sind gemäß Art. 5 Absatz 2 DSGVO die Verantwortlichen für die Einhaltungder DSGVO verantwortlich, was bedeutet, dass dieVerarbeitung:
- alle oben genannten Bedingungen erfüllt und
- die Verantwortlichen in der Lage sind, dies nachzuweisen.
Um den Lesern das Verständnis der Datenschutz-Grundverordnung zu erleichtern, folgt die ausführliche Erörterung der oben genannten Grundsätze der vom Gesetz vorgegebenen Struktur.Das bedeutet, dass jeweils ein Punkt der Datenschutz-Grundverordnung erörtert wird.Jeder Punkt von Art. 5 Absatz 1 und Art. 5 Absatz 2 wird dann als Grundsatz bezeichnet.Die Bezeichnung des Grundsatzes, die in der DSGVO vorgesehen ist, entspricht der in dene folgenden Abschnitte verwendeten Bezeichnung.In einigen Fällen können mehrere der oben genannten Bedingungen in einem einzigen Grundsatz zusammengefasst werden.
Es gibt zwei Ausnahmen von der Gliederung der folgenden Ausführungen nach den Absätzen von Art. 5 DSGVO. Grund ist eine größere Klarheit, wobei Aussagen erörtert werden, die in einem Absatz der DSGVO unter dem Grundsatz (d.h. der Hauptbedeutung) eines anderen Absatzes bereitgestellt werden.Die Ausnahmen sind:
- Die Anforderung, dass die Zwecke festgelegt, eindeutig und legitim sein müssen (Artikel 5 Absatz 1 Buchstabe b DSGVO), wird zusammen mit Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz (Artikel 5 Absatz 1 Buchstabe a DSGVO) erörtert.
- Die Erklärung über die Speicherfrist für bestimmte Arten der Verarbeitung (Art. 5 Absatz 1 Buchstabe eDSGVO) wird zusammen mit der Datenminimierung (Art. 5 Absatz 1 Buchstabe cDSGVO) diskutiert, da die Speicherfrist damit zusammenhängt, dass die Daten (zeitlich) „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind.
Die folgende Tabelle gibt einen Überblick darüber, wie sich die Grundsätze auf die Buchstaben von Artikel 5 DSGVO beziehen.
Art. 5 Absatz 1 Buchstabe a | Art. 5 Absatz 1 Buchstabe b | Art. 5 Absatz 1 Buchstabe c | Art. 5 Absatz 1 Buchstabe d | Art. 5 Absatz 1 Buchstabe e | Art. 5 Absatz 1 Buchstabe f | Art. 5 Absatz 2 | |
Legitimität und Rechtmäßigkeit | |||||||
Verarbeitung nach Treu und Glauben | |||||||
Transparenz | |||||||
Zweckbindung | |||||||
Datenminimierung | |||||||
Richtigkeit | |||||||
Speicherbegrenzung (Minimierung des Identifikationspotenzials) | |||||||
Integrität und Vertraulichkeit | |||||||
Rechenschaftspflicht |
Die Erörterung der einzelnen Grundsätze ist wie folgt aufgebaut:
- abstrakte Beschreibung des Grundsatzes,
- kurze Erörterung verwandter Artikel und Erwägungsgründe der Datenschutz-Grundverordnung, die geeignet sind, ein tieferes Verständnis des Grundsatzes zu vermitteln, und
- Beispiele für konkrete technische oder organisatorische Maßnahmen, die zur Umsetzung des Grundsatzes genutzt werden können.
Die Beschreibung versucht, das Wesentliche des Grundsatzes zu erfassen.Der Abschnitt über verwandte Artikel und Erwägungsgründe verweist auf Stellen in der Datenschutz-Grundverordnung, in denen ausführlicher beschrieben wird, wie der Grundsatz konkret angewendet werden muss.Dieser Abschnitt kann in einer ersten Lesung konsultiert werden, wenn ein tieferes Verständnis gewünscht ist.Der Abschnitt über Maßnahmen enthält eine nicht erschöpfende Liste von Beispielen, wie jeder Grundsatz in der Praxis umgesetzt werden kann.
Im weiteren Verlauf dieses Kapitels werden die in Art. 5 DSGVO aufgeführten Grundsätze anhand der beschriebenen Struktur beschrieben.
e