Damit verbundene technische und organisatorische Maßnahmen
Home » DSGVO » Grundsätze » Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz » Damit verbundene technische und organisatorische Maßnahmen

Im Folgenden werden Beispiele für Maßnahmen zur Umsetzung verschiedener Aspekte des Grundsatzes angeführt.

Legitimität und Rechtmäßigkeit

  • Zumindest dort, wo die Überprüfung und der Nachweis der Legitimität formale Schritte erfordert, können diese als organisatorische Maßnahmen zur Unterstützung der Legitimität angesehen werden.Ein Paradebeispiel sind die Beantragung und Genehmigung bestimmter medizinischer Forschungen durch die zuständige Forschungsethikkommission.
  • Eine Voraussetzung für die Bewertung der Legitimität und der Rechtmäßigkeit ist die Angabe ausdrücklicher Ziele.Dies kann an sich schon als Maßnahme betrachtet werden, insbesondere wenn sie mit Überlegungen einhergeht, wie die Spezifikation so eindeutigund eng wie möglich gestaltet werden kann.In diesem Fall kann auch eine solche Analyse als Teil dieser Maßnahme angesehen werden.
  • Die wichtigste Maßnahme zur Unterstützung der Rechtmäßigkeit besteht darin, eine oder mehrere Rechtsgrundlagen gemäß Art. 6 Absatz 1DSGVO zu identifizieren.In vielen Fällen stützt sich eine Verarbeitungstätigkeit auf mehrere Rechtsgrundlagen.Ein von der Data Privacy Vocabulary Community Group des W3C[1]veröffentlichter Anwendungsfall liefert ein leicht zugängliches Beispiel.
  • Wenn Art. 6 Absatz 1 Buchstabe a DSGVO, d. h. die Einwilligung, als Rechtsgrundlage gewählt wurde, ist eine Analyse, die rechtfertigt, dass die strengen Anforderungen der DSGVO an eine (freiwilllig und in Kenntnis der Sachlage erteilte) Einwilligung erfüllt sind, eine wichtige Maßnahme.Dabei kann beispielsweise geprüft werden, ob die als Grundlage für die Einwilligung bereitgestellten Informationen für die betroffenen Personen tatsächlich verständlich sind und ob der Widerruf der Einwilligung tatsächlich so einfach ist wie die Erteilung der Einwilligung.
    • Wenn Kinder oder andere schutzbedürftige Personen betroffen sind, sollte diese Analyse außerdem einen besonderen Schwerpunkt auf Garantien gemäß Art. 7 DSGVO legen.
  • Wenn Art. 6 Absatz 1 Buchstabe f DSGVO, d. h. die legitige Einwilligung des Verantwortlichen, als Rechtsgrundlage gewählt wurde, umfassen die Maßnahmen eine genaue Spezifizierung der berechtigten Interessen sowie eine Abwägungsprüfung (siehe gleichnamigen Abschnitt in „Wichtigste Instrumente und Maßnahmen“ in Teil II dieser Leitlinien), um sicherzustellen, dass diese tatsächlich die Interessen, Rechte und Freiheiten der betroffenen Personen überwiegen.
  • Beabsichtigt der Verantwortliche, bestimmte Daten über den ursprünglichen Zweck hinaus für vereinbare Zwecke weiterzuverarbeiten (siehe Art. 5 Absatz 1 Buchstabe bDSGVO), ist die Analyse auf der Grundlage der Kriterien von Art. 6 Absatz 4, um nachzuweisen, dass diese zusätzlichen Zwecke tatsächlich vereinbar sind, eine Maßnahme, die die Rechtmäßigkeit einer solchen Verarbeitung belegt.
  • Wenn besondere Datenkategorien (d. h. sensible Daten) oder Daten über strafrechtliche Verurteilungen verarbeitet werden, müssen zusätzliche Maßnahmen zu den Maßnahmen nach Art. 6 Absatz 1DSGVO ergriffen werden.Insbesondere im ersten Fall muss die Voraussetzung des Art. 9 Absatz 2 DSGVO, warum eine Ausnahme vom Verbot der Verarbeitung sensibler Daten gilt, begründet und dokumentiert werden.Im letzteren Fall müssen die Bedingungen, die die Verarbeitung gemäß Art. 10 DSGVOzulassen, umgesetzt und dokumentiert werden.

Verarbeitung nach Treu und Glauben

  • Wie oben dargelegt, können alle Anforderungen der Datenschutz-Grundverordnung als eine Frage der Verarbeitung nach Treu und Glauben betrachtet werden; einige Rechte der betroffenen Person wurden jedoch als besonders relevant dargestellt.Die wichtigsten Maßnahmen zur Förderung der Verarbeitung nach Treu und Glauben sind daher eine angemessene Umsetzung der Rechte der betroffenen Personen.

Transparenz

  • Die Umsetzung der Anforderungen der Art. 12 bis 14 DSGVO zur Bereitstellung angemessener und leicht verständlicher Informationen für die betroffenen Personen ist eine wichtige Maßnahme zur Förderung der Transparenz.
  • Gleiches gilt für Dokumente, die zur Unterrichtung der Aufsichtsbehörden erstellt werden, insbesondere das Verzeichnis von Verarbeitungstätigkeiten(gemäß Art. 30 DSGVO) und eine Datenschutz-Folgenabschätzung (gemäß Art. 35 DSGVO).Eine weitere Maßnahme ist die teilweise Veröffentlichung dieser Folgenabschätzung.
  • Jede Analyse, die die Wirksamkeit und Zugänglichkeit der bereitgestellten Informationen bewertet – möglicherweise im Hinblick auf besondere Kategorien betroffener Personen wie Kinder – kann als Maßnahme an sich betrachtet werden.
  • Die Ernennung eines Datenschutzbeauftragten kann zum Teil als Maßnahme zur Erhöhung der Transparenz sowohl gegenüber den betroffenen Personen als auch gegenüber der Aufsichtsbehörde gesehen werden.

 

Quellenangaben

1Brügger, Schlehahn&Zwingelberg, Data Privacy Vocabulary Community Group, Data Protection Aspects of Online Shopping – A Use Case, https://www.w3.org/community/dpvcg/2019/12/12/data-protection-aspects-of-online-shopping-a-use-case/ (zuletztbesucht am 25/05/2020).

 

Skip to content