A. Vorbemerkung
Rz. 1
"Vor die Klammer gezogen" normiert Art. 5 DSGVO eher abstrakt gehaltene Datenschutzgrundsätze, die in den nachfolgenden Artikeln der Verordnung eine weitergehende Konkretisierung erfahren. Die Formulierung "vor die Klammer gezogen" steht dabei bewusst in Anführungszeichen, denn sie soll nicht über die Bedeutung des Art. 5 DSGVO hinwegtäuschen. Zum einen erfolgt die Konkretisierung der hier normierten Grundsätze der Datenverarbeitung in den nachfolgenden Artikeln der DSGVO nicht abschließend, zum anderen zeigt bereits die Aufnahme des Art. 5 DSGVO in den erweiterten Ordnungsgeldrahmen des Art. 83 Abs. 5 DSGVO die eigenständige Bedeutung der hier normierten "Grundsätze für die Verarbeitung personenbezogener Daten".
B. Rechtmäßigkeit, Treu und Glauben und Transparenz
Rz. 2
Nach Art. 5 Abs. 1 lit. a) DSGVO müssen personenbezogene Daten durch den Verantwortlichen auf rechtmäßige Weise (1.), nach Treu und Glauben (2.) und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet (3.) werden. Der Gesetzestext selbst umschreibt dies mit den Schlagworten Rechtmäßigkeit, Treu und Glauben und Transparenz, ohne die Begriffe indes selbst näher zu definieren.
I. Rechtmäßigkeit der Datenverarbeitung
Rz. 3
Nach Art. 5 Abs. 1a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Nach Erwägungsgrund 40 soll dies der Fall sein, wenn personenbezogene Daten "mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden." Letzteres soll immer der Fall sein, wenn sich aus der DSGVO selbst oder aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten eine konkrete Ermächtigungsgrundlage zur Verarbeitung personenbezogener Daten ergibt. Derartige Ermächtigungsgrundlagen sind innerhalb der DSGVO konkret in Art. 6 DSGVO normiert, finden sich jedoch auch an anderen Stellen der Verordnung. Als Ermächtigungsgrundlagen "rechtmäßiger Verarbeitungen" kommen zudem nicht nur parlamentarische Gesetzgebungsakte, sondern auch untergesetzliche Rechtsnormen, wie Verordnungen o.ä., in Betracht soweit diese gemäß der Verfassungsordnung des betreffenden Mitgliedstaats ihrerseits rechtmäßig erlassen worden und selbst klar, präzise und für den Betroffenen vorhersehbar sind. Die Erwägungsgründe verweisen insoweit explizit auf die Rechtsprechung des EuGH und des EGMR, was insbesondere für die Anforderungen an die Vorhersehbarkeit erhebliche Auswirkungen haben kann, nachdem der EuGH zuletzt Ende 2015 erneut bekräftigt hat, dass es
Zitat
"mit der Vorhersehbarkeit eines Gesetzes […] nicht unvereinbar [ist], dass die betreffende Person gezwungen ist, fachkundigen Rat einzuholen, um unter den Umständen des konkreten Falles angemessen zu beurteilen, welche Folgen sich aus einer bestimmten Handlung ergeben können."
Der EuGH sieht dies zwar insbesondere "für berufsmäßig tätige Personen, die gewohnt sind, sich bei der Ausübung ihrer Tätigkeit sehr umsichtig verhalten zu müssen" als selbstverständlich an, trifft indes innerhalb der vorgenannten Entscheidung insoweit keine konkrete Einschränkung.
Rz. 4
Damit bewegt sich der EuGH auf dem Pfad, den der Europäische Gerichtshof für Menschenrechte bereits 1982 vorgegeben und seitdem mehrfach bestätigt hat. Hiernach muss ein "Gesetz" "hinreichend zugänglich und vorhersehbar, d.h., so genau formuliert sein, dass der Bürger sein Verhalten, gegebenenfalls nach Einholung sachkundigen Rates, danach richten kann", dass er in der Lage ist, "dessen Folgen für sich vorherzusehen", "unter den Umständen des Falles angemessen die Folgen einer bestimmten Handlung zu beurteilen". Auch im datenschutzrechtlichen Sinne muss die, eine Datenverarbeitung gestattende, Rechtsgrundlage daher hinreichend klar und vorhersehbar sein, was den Sinn und das Wesen der anwendbaren Maßnahmen angeht sowie den Umfang und die Art und Weise der Ausübung des Eingriffs in die Ausübung der durch die EMRK garantierten Rechte hinreichend klar definieren. Soweit Datenverarbeitungen vor diesem Hintergrund auf einen nationalstaatlichen Rechtssetzungsakt, der – ebenfalls im Einklang mit der Rechtsprechung des EGMR – nicht zwingend ein Gesetz im formellen Sinne darstellen muss, gestützt werden, ist die Rechtsgrundlage stets nicht nur auf ihre Vereinbarkeit mit der DSGVO selbst, sondern auch mit der Vereinbarkeit an die Anforderungen der Klarheit, Präzision und Vorhersehbarkeit hin zu überprüfen. Gleichsam können Verarbeitungen, die über die in der jeweiligen Rechtsgrundlage be- oder zumindest dem Sinn und Wesen nach umschriebenen Maßnahmen hinausgehen, nicht als rechtmäßige Verarbeitungen i.S.d. Art. 5 Abs. 1a) DSGVO gelten.