Die Datenschutz-Grundverordnung bringt zwar einige Neuerungen mit sich, behält aber die bisherigen bekannten Datenschutzgrundsätze im Wesentlichen bei. Neu hinzu kam die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht. Die Unternehmen sind daher nicht nur zur Einhaltung der nachfolgenden Grundsätze verpflichtet, sondern müssen die Einhaltung der Grundsätze auch nachweisen. Die Rechenschaftspflicht steht insofern im Zusammenhang mit den Compliance-Anforderungen und erfordert eine umfangreichere Datenschutzdokumentation als bisher.
2.1 Die Grundsätze im Einzelnen
Die Grundsätze der DSGVO sind im Einzelnen:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten dürfen auch nur dann verarbeitet werden, wenn die Verarbeitung durch eine Rechtsgrundlage gedeckt ist (Verbot mit Erlaubnisvorbehalt). Der Grundsatz von Treu und Glauben lässt sich als Rücksichtnahmepflicht und damit als Ausprägung des bisher bekannten Grundsatzes der Verhältnismäßigkeit verstehen. Zentrale Norm zur Bestimmung, ob eine Verarbeitung personenbezogener Daten rechtmäßig ist, ist Art. 5 DSGVO. Die dort genannten Rechtsgrundlagen decken sich im Wesentlichen mit den bekannten Grundsätzen aus dem bisherigen BDSG.
Zweckbindung
Ebenfalls beibehalten wurde der Grundsatz der Zweckbindung. Personenbezogene Daten dürfen auch weiterhin nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.
Datenminimierung
Auch der bisher bekannte Grundsatz der Datenminimierung findet sich in der DSGVO wieder. Personenbezogene Daten dürfen damit weiterhin nur dann verarbeitet werden, soweit dies zur Erreichung des Zweckes angemessen und erheblich ist.
Richtigkeit
Personenbezogene Daten müssen sachlich richtig sein und gegebenenfalls auf den aktuellen Stand gebracht werden.
Speicherbegrenzung
Personenbezogene Daten dürfen nur solange gespeichert werden, wie dies für die Erreichung des Zweckes unbedingt notwendig ist. Nach Zweckfortfall müssen die Daten entweder vollständig gelöscht werden oder es muss zumindest sichergestellt sein, dass die Identifizierung einer Person nicht mehr möglich ist.
Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung ein.
2.2 Einwilligung in die Datenverarbeitung
Eine wichtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten stellt die Einwilligung dar. In Art. 7 DSGVO sind die Anforderungen an eine wirksame datenschutzrechtliche Einwilligung festgehalten. Eine Einwilligung kann nur dann wirksam erteilt werden, wenn der Betroffene in voller Kenntnis des Umfangs der geplanten Verarbeitung und freiwillig sein Einverständnis zur Verarbeitung erteilt. Bereits bei Erteilung der Einwilligung muss der Betroffene auf sein Widerrufsrecht hingewiesen werden.
Die Schriftform ist für die Erteilung der Einwilligung nicht mehr explizit vorgesehen. Einwilligungen können daher nunmehr auch in mündlicher oder elektronischer Form wirksam erteilt werden. Allerdings müssen die Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung eingewilligt hat. Werden Einwilligungen durch eine schriftliche Erklärung eingeholt, die noch weitere Sachverhalte betrifft (z. B. Einwilligung im Arbeitsvertrag), so muss die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen.
Die DSGVO enthält auch spezielle Vorgaben zu Einwilligungserklärungen Minderjähriger. Einwilligungserklärungen von Minderjährigen, die das 16. Lebensjahr vollendet haben, sollen grundsätzlich wirksam sein. Wenn ein Minderjähriger das 16. Lebensjahr noch nicht vollendet hat, so bedarf es der Einwilligung des Erziehungsberechtigten.
Einwilligungen prüfen
Vor der DSGVO erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen. Zu den Vorgaben hinsichtlich Einwilligungen enthalten die Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 des Europäischen Datenschutzausschusses ("EDSA") sowie die Orientierungshilfe zur Einwilligung nach der Datenschutz-Grundverordnung des Bayerischen Landesbeauftragten für den Datenschutz ("BayLfD") wertvolle Praxishinweise. Der EDSA und der BayLfD sehen es als problematisch an, wenn Arbeitgeber die personenbezogenen Daten ihrer derzeitigen oder zukünftigen Arbeitnehmer auf der Grundlage der Einwilligung verarbeiten, da es unwahrscheinlich ist, dass diese freiwillig erteilt wurde. Für die meisten dieser Fälle der Datenverarbeitung am Arbeitsplatz kann und sollte die Rechtsgrundlage aufgrund der Natur des Verhältnisses zwischen Arbeitgeber und Arbeitnehmer nicht die Einwilligung des Arbeitnehmers sein.
Einwilligungen im Arbeitsverhältnis
Eine Einwilligung durch Arbeitnehmer kommt im Arbeitsverhä...