Beschreibung
Home » DSGVO » Grundsätze » Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz » Beschreibung

In „Datenschutz verstehen: Die EU-Verordnung in Kurzform“ wurden die meisten der in diesem Grundsatz geforderten Eigenschaften im Hinblick auf ein ausgewogenes Machtverhältnis zwischen dem Verantwortlichen und den betroffenen Personen erörtert.Dies wird im Folgenden zusammengefasst:Sowohl die Rechtmäßigkeit als auch die Legitimität der Zwecke wird als Voraussetzung für die Zulässigkeit der Verarbeitung dargestellt.Siehe 1.5 „Zu welchen Zwecken ist die Verarbeitung zulässig“ für weitere Einzelheiten.Der Aspekt der Verarbeitung nach Treu und Glaubenwurde in der Einleitung nicht erörtert.Durch das Gleichgewicht der Macht zwischen dem Verantwortlichen und den betroffenen Personen geht es bei der gesamten Datenschutz-Grundverordnung um Verarbeitung nach Treu und Glauben.Transparenz wurde als Voraussetzung für die Rechenschaftspflicht dargestellt.Siehe 1.6.1 Die Verantwortlichen sind in Bezug auf Einzelheiten voll rechenschaftspflichtig.

In der Datenschutz-Grundverordnung wird dieser Grundsatz wie folgt definiert:

Definition in Art. 5 Absatz 1 Buchstabe aDSGVO:

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“ );

Auf Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz wird im Folgenden näher eingegangen.

Voraussetzung für die Rechtmäßigkeit: festgelegte, eindeutige Zwecke

Die Rechtmäßigkeit ist eine Voraussetzung für die Zwecke der Verarbeitung[1].Es ist daher nicht möglich, eine Begründung zu geben, ohne vorher die genauen Zwecke zu kennen, die mit der Verarbeitung verfolgt werden.Aus diesem Grund wird die Anforderung aus Art. 5 Absatz 1 Buchstabe b, dass die Zwecke festgelegt und eindeutig sein müssen, hier als Voraussetzung diskutiert:

Personenbezogene Daten müssen für festgelegte, eindeutige und legitimeZwecke erhoben werden

Festgelegte Zwecke:

Die Artikel-29-Datenschutzgruppe schreibt[2]:

„Die Festlegung des Zwecks ist das Kernstück des Rechtsrahmens für den Schutz personenbezogener Daten.Um festzustellen, ob die Datenverarbeitung im Einklang mit dem Gesetz steht und welche Datenschutzgarantien angewandt werden sollten, ist es eine notwendige Voraussetzung, den/die spezifischenZweck(e) zu bestimmen, für den/die die Erhebung personenbezogener Daten erforderlich ist.“

Die Festlegung kann als die erste Aufgabe der Konzeptualisierung einer Verarbeitungsaktivität angesehen werden, die alle nachfolgenden Entscheidungen leitet:

  • ob die Verarbeitung zulässig, d. h. rechtmäßig und legitim ist,
  • was die Durchführung der Verarbeitung, die zur Erreichung der Zwecke erforderlich ist, mit sich bringt und
  • welche Garantiengetroffen werden sollten.

Die Artikel-29-Datenschutzgruppeführt weiter aus:[3]

„Der Zweck der Erhebung muss klar und deutlich angegeben werden: Er muss detailliert genug sein, um zu bestimmen, welche Art der Verarbeitung unter den angegebenen Zweck fällt und welche nicht, und um zu ermöglichen, dass die Einhaltung des Gesetzes beurteilt und Farantien angewendet werden können.

und

Aus diesen Gründen erfüllt ein vager oder allgemeiner Zweck wie z. B. „Verbesserung der Nutzererfahrung“, „Marketingzwecke“, „IT-Sicherheitszwecke“ oder „künftige Forschung“ ohne nähere Angaben in der Regel nicht das Kriterium eines festgelegten Zwecks.

Eindeutige Zwecke:

Die Artikel-29-Datenschutzgruppe führt weiter aus:[4]

„Personenbezogene Daten müssen für eindeutige Zwecke erhoben werden. Die Erhebungszwecke müssen nicht nur in den Köpfen der für die Datenerhebung verantwortlichen Personen verankert sein. Sie müssen auch explizit gemacht werden. Mit anderen Worten, sie müssen klar offengelegt, erläutert oder in verständlicher Form ausgedrückt werden.

Beachten Sie, dass die Anforderung, die Zwecke eindeutig anzugeben, eng mit der Unterrichtung der betroffenen Personen über die Zwecke der Verarbeitung zusammenhängt (siehe Art. 13 Absatz 1 Buchstabe c und 14 Absatz 1 Buchstabe cDSGVO).

Auf der Grundlage der Voraussetzung, dass ein bestimmter Zweck eindeutig genannt wird, können Legitimität und Rechtmäßigkeit erörtert werden.

Legitimität und Rechtmäßigkeit

Während Art. 5 Absatz 1 Buchstabe a DSGVO nur von der Rechtmäßigkeit spricht, ist das eng damit verbundene Erfordernis der Legitimität in Art. 5 Absatz 1 Buchstabe bDSGVO genannt.Da beide Bestimmungen Anforderungen an die Zwecke der Verarbeitung enthalten, werden sie hier gemeinsam erörtert.

Art. 5 Absatz 1 Buchstabe bDSGVO besagt:

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und […]

Die Datenschutz-Grundverordnung enthält keine Definition der Legitimität, aber die Artikel-29-Datenschutzgruppe liefert die folgenden Informationen:[5]

Das Erfordernis der Legitimität bedeutet, dass die Ziele „im Einklang mit dem Gesetz“im weitesten Sinne stehen müssen. Dies umfasst alle Formen des geschriebenen Rechts und des Gewohnheitsrechts, primäre und sekundäre Rechtsvorschriften, kommunale Erlasse, gerichtliche Präzedenzfälle, Verfassungsgrundsätze, Grundrechte, andere Rechtsgrundsätze sowie die Rechtsprechung, da dieses „Recht“ von den zuständigen Gerichten ausgelegt und berücksichtigt wird.

Die Legitimität ist also eine sehr umfassende Anforderung.Dies wird noch deutlicher, wenn man bedenkt, dass bestimmte Rechtsvorschriften wie die Verordnung[6] über klinische Prüfungen auch ethische Anforderungen enthalten.Aber auch dort, wo die Ethik nicht gesetzlich vorgeschrieben ist, besteht die Gefahr, dass eindeutig unethische Zwecke auch als unrechtmäßig angesehen werden.Dies kann zum Beispiel der Fall sein, wenn die Verarbeitung unter Missachtung einer Ablehnung durch eine Forschungsethikkommission erfolgt.

Im Gegensatz zur Legitimität ist die Rechtmäßigkeit in der Datenschutz-Grundverordnung tatsächlich definiert.Art. 6 Absatz 1DSGVO lautet:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist: […]

In der durch […] dargestellten Auslassung werden sechs mögliche Rechtsgrundlagen aufgeführt.Sie können als Kategorien von Zwecken angesehen werden.Diese werden im folgenden Abschnitt „Verwandte Artikel und Erwägungsgründe“ ausführlicher beschrieben.

Verarbeitung nach Treu und Glauben

Beim gesamten Datenschutz und somit auch bei der DSGVO geht es um die Verarbeitung nach Treu und Glauben gegenüber den betroffenen Personen.In der DSGVO wird dargelegt, was „Verarbeitung nach Treu und Glauben“eigentlich konkret bedeutet.

Die ausdrückliche Erwähnung als Grundsatz kann also als „Ausweichklausel“ für den Fall betrachtet werden, dass eine konkrete Anforderung in Bezug auf Treu und Glauben nicht ausdrücklich in der Datenschutz-Grundverordnung genannt wurde.Selbst in diesem Fall würde der Grundsatz der Verarbeitung nach Treu und Glaubenjede „Lücke“ in der DSGVO verhindern.

Während sich die gesamte Datenschutz-Grundverordnung um die Verarbeitung nach Treu und Glauben dreht, enthält der folgende Abschnittunten einige Beispiele, in denen die Verarbeitung nach Treu und Glauben besonders deutlich wird.

Transparenz

Transparenz ist ein wohlverstandenes Konzept und eine wichtige Voraussetzung für die Rechenschaftspflicht im Rahmen der Datenschutz-Grundverordnung.Das Hauptaugenmerk der Transparenz liegt darauf, die betroffenen Personen im Voraus[7] über das Vorhandensein der Verarbeitung und ihre wichtigsten Merkmale zu informieren.Weitere Informationen (z. B. die Daten über die betroffene Person) sind auf Anfrage erhältlich.Die betroffenen Personen müssen auch über bestimmte Ereignisse informiert werden, vor allem über Datenschutzverletzungen (wenn die betroffene Person einem hohen Risiko ausgesetzt ist).Die Transparenz wird auch dadurch unterstützt, dass die Verantwortlichen einen Datenschutzbeauftragten benennen, der als zentrale Anlaufstelle für die Anliegen der betroffenen Personen fungiert.In der Datenschutz-Grundverordnung werden die betroffenen Personen dazu ermächtigt, die wichtigsten Hüter ihrer eigenen Rechte und Freiheiten zu sein.Transparenz ist natürlich eine Voraussetzung dafür, dass Verstöße aufgedeckt werden und eingegriffen werden kann.

Die Aufsichtsbehörden sind, wie aus ihrem Namen hervorgeht, ebenfalls Hüter der Einhaltung der DSGVO, auch wenn ihre Beteiligung oft durch Beschwerden betroffener Personen ausgelöst wird[8].Es gibt Transparenzanforderungen für Verantwortliche, die speziell auf aufsichtsführende Verantwortliche abzielen, einschließlich der Verzeichnisse über die Verarbeitung (siehe Dokumentation der Verarbeitung im Abschnitt „Wichtigste Instrumente und Maßnahmen” in Teil II) und der Datenschutz-Folgenabschätzung (siehe den gleichnamigen Abschnitt in „Wichtigste Instrumente und Maßnahmen“, Teil II dieser Leitlinien). Die Tatsache, dass die Verantwortlichen den Aufsichtsbehörden gegenüber rechenschaftspflichtig[9] sind und Untersuchungen und Audits[10] vor Ort[11] zulassen müssen, trägt ebenfalls zur Transparenz bei.

 

Quellenangaben

1Es liegt außerhalb des Rahmens dieses Dokuments, eine gründliche rechtliche Analyse des Begriffs „Zweck“ über seine Bedeutung im allgemeinen Sprachgebrauch hinaus vorzunehmen.Es soll lediglich darauf hingewiesen werden, dass die Zwecke der Verarbeitung in der Regel mit einem Ziel verbunden sind, das der Verantwortliche verfolgt.Solche Ziele sollten konkret (und nicht nur theoretisch) sein, und es ist oft möglich, festzustellen, ob das Ziel erreicht wurde oder zu messen, in welchem Maße es erreicht wurde.

2Hervorhebung durch den Autor, Zitat siehe Seite 15: Artikel 29 Datenschutzgruppe, 00569/13/EN, WP203, Stellungnahme 03/2013 zur Zweckbindung, angenommen am 2. April2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (zuletzt besucht am 27.05.2020).

3WP203, Seite 15, Hervorhebung durch den Autor.

4WP203, Seite 17, Hervorhebung durch den Autor.

5WP203, Seite 20, , Hervorhebung durch den Autor. </p

6VERORDNUNG (EU) Nr. 536/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG, https://ec.europa.eu/health/sites/health/files/files/eudralex/vol-1/reg_2014_536/reg_2014_536_en.pdf (zuletzt besucht am 27/05/2020).

7„Im Voraus“ bedeutet hier, dass die betroffenen Personen über die Verarbeitung informiert sein sollten, bevor sie stattfindet.Dies bedeutet nicht, dass eine bestimmte Methode der Informationsbereitstellung vorgeschrieben ist oder dass dynamische Möglichkeiten der Bereitstellung der erforderlichen Informationen ausgeschlossen sind.

8Siehe Art. 57 Absatz 1 Buchstabe fDSGVO.

9Siehe Art. 58 Absatz 1 Buchstabe aDSGVO.

10Siehe Art. 58 Absatz 1 Buchstabe fDSGVO.

11Siehe Art. 58 Absatz 1 Buchstabe b DSGVO.

 

Skip to content