Dr. iur. Berthold Hilderink
Rz. 95
Gem. § 26 Abs. 5 BDSG muss der Verantwortliche geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Art. 5 der DSGVO dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Damit stellt der deutsche Gesetzgeber klar, dass ab dem 25.5.2018 neben den auf der Grundlage der Ermächtigung von Art. 88 Abs. 1 DSGVO ergehenden nationalen Vorschriften und Kollektivvereinbarungen im Beschäftigungskontext auch die allgemeinen Regelungen der DSGVO zur Anwendung kommen.
Art. 5 DSGVO ist eine der zentralen Vorschriften der Datenschutz-Grundverordnung. Die Vorschrift beinhaltet die Grundsätze, an denen sich jede Datenverarbeitung ausrichten muss. Hierzu gehören beispielsweise die Grundsätze der Rechtmäßigkeit und der Datensparsamkeit, die bereits aus dem bisherigen Datenschutzrecht bekannt sind. In der DSGVO neu geregelt wurde in Art. 5 Abs. 2 DSGVO insbesondere die Rechenschaftspflicht des Verantwortlichen, der die Einhaltung der Grundsätze der Datenverarbeitung nachweisen können muss.
Ein Verstoß gegen die Anforderungen des Art. 5 DSGVO kann gravierende Folgen haben. Gemäß Art. 83 Abs. 5 DSGVO kann ein Verstoß mit Geldbußen bis zu 20 Millionen EUR oder im Falle eines Unternehmens mit bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes sanktioniert werden, je nachdem, welcher der Beträge höher ist.
Rz. 96
Hinweis
Die DSGVO sieht im Gegensatz zu § 5 BDSG a.F. keine Verpflichtung auf das Datengeheimnis vor. Dennoch ist es wegen der Rechenschaftspflicht empfehlenswert, die bisherige Praxis der Verpflichtung der Mitarbeiter auf die einzuhaltenden Regeln beizubehalten. Die Rechenschaftspflicht wird namentlich in Art. 24 DSGVO konkretisiert. Danach muss die verantwortliche Stelle geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen und den Nachweis erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Eine dieser Maßnahmen kann auch die Verpflichtung der Mitarbeiter auf die einzuhaltenden Regeln sein. Zudem folgt aus Art. 29 DSGVO, dass Personen, die dem Verantwortlichen unterstellt sind, personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten dürfen. Für Auftragsverarbeiter ergibt sich eine solche Verpflichtung zudem aus Art. 28 lit. b) DSGVO, wonach diese sicherzustellen haben, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
1. Rechtmäßigkeit
Rz. 97
Personenbezogene Daten müssen gemäß Art. 5 Abs. 1 lit. a) DSGVO "auf rechtmäßige Weise" verarbeitet werden. Eine Verarbeitung ist rechtmäßig, wenn einer der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände erfüllt ist, anderenfalls ist die Verarbeitung verboten. An diesem bereits im BDSG a.F. enthaltenen "Verbot mit Erlaubnisvorbehalt" hat die Datenschutz-Grundverordnung im Kern somit nichts geändert.
2. Transparenz
Rz. 98
Personenbezogene Daten müssen gem. Art. 5 Abs. 1 lit. a) DSGVO in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der Betroffene muss wissen, dass Daten über ihn verarbeitet werden und in welchem Umfang dies erfolgt. Die Transparenz hat sich unter anderem auf die Zwecke der Datenverarbeitung und die Rechte der betroffenen Personen zu beziehen. So verpflichten Art. 13 Abs. 1 lit. c) und Art. 14 Abs. 1 lit c) DSGVO zur Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden. Zudem kann die betroffene Person nach Art. 15 Abs. 1 lit. a) Auskunft über die Verarbeitungszwecke verlangen.
Rz. 99
Hinweis
Wie aus Erwägungsgrund 39 DSGVO folgt, müssen alle Informationen leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sein. Aus Erwägungsgrund 58 ergibt sich, dass diese Informationen auch in elektronischer Form bereitgestellt werden können. Die Art. 12 bis 15 DSGVO konkretisieren diese Transparenzanforderungen.
3. Zweckbindung
Rz. 100
Personenbezogene Daten dürfen gemäß Art. 5 Abs. 1 lit. b) DSGVO nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Rz. 101
Hinweis
Wie aus Erwägungsgrund 39 DSGVO folgt, müssen die Zwecke bereits zum Zeitpunkt der Datenerhebung festgelegt sein. Die DSGVO regelt keine bestimmte Form für die Zweckfestlegung. Da allerdings der Verantwortliche die Einhaltung des Zweckbindungsgrundsatzes nachweisen können muss, sollten die Zwecke so dokumentiert werden, dass sie auch für einen Dritten nachzuvollziehen sind, beispielsweise in Textform. Gemäß Art. 30 Abs. 1 lit. b) DSGVO sind die Zwecke der Verarbeitung auch in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.
4. Datenminimierung
Rz. 102
Personenbezogene Daten müssen nach dem Grundsatz der Datenminimierung in Art. 5 Abs. 1 lit. c) DSGVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Eine im Grundsatz vergleichbare Regelung ist bereits aus § 3a BDSG a.F. bekannt. Unternehmen dürfen personenbezogene Daten nur in dem Umfang verarbeiten, der für den j...