Rz. 36
Art. 5 DSGVO enthält in Abs. 1 zunächst die nachstehend erläuterte Aufzählung von 6 Grundsätzen, die bei der Verarbeitung beachtet werden müssen.
2.7.1.1 Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 Buchst. a DSGVO)
Rz. 37
Personenbezogene Daten "müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden"; dies bedeutet nach EG 39 DSGVO, dass jede Verarbeitung personenbezogener Daten rechtmäßig und nach Treu und Glauben erfolgen sollte.
2.7.1.1.1 Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
Rz. 38
Die Rechtmäßigkeit der Verarbeitung ist unmittelbar in Art. 6 DSGVO definiert und in mehreren EG der DSGVO wie z. B. EG 39, 40, 44 bis 47, 51, 63, 69 und 112 erwähnt und näher erläutert.
Auf nationaler Ebene wird Art. 6 DSGVO im BDSG ergänzt bzw. konkretisiert und der bislang im deutschen Datenschutzrecht unbekannte Begriff der "Rechtmäßigkeit" der Verarbeitung übernommen; im Einzelnen enthalten dessen
- § 3 (Verarbeitung personenbezogener Daten durch öffentliche Stellen),
- § 4 (Videoüberwachung öffentlich zugänglicher Räume),
- § 23 (Verarbeitung zu anderen Zwecken durch öffentliche Stellen),
- § 24 (Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen),
- § 25 (Datenübermittlungen durch öffentliche Stellen),
- § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses),
- § 27 (Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken und
- § 31 (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften).
Regelungen zur Rechtmäßigkeit der Verarbeitung. Lediglich § 31 BDSG verwendet noch den Begriff "Zulässigkeit".
Im Sozialdatenschutz wurde der Begriff Rechtmäßigkeit der Verarbeitung nicht aufgenommen; hier wird insbesondere in den §§ 67a bis 67d SGB X weiterhin die Zulässigkeit der verschiedenen Phasen der Verarbeitung von Sozialdaten geregelt. Insoweit wird ergänzend auf die entsprechenden Kommentierungen hingewiesen und nachstehend nur kurz auf Art. 6 DSGVO eingegangen.
Rz. 39
Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung nur rechtmäßig, wenn eine der nachstehend aufgelisteten Bedingungen erfüllt ist:
- die betroffene Person hat ihre Einwilligung erteilt (Buchst. a),
- die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich (Buchst. b),
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Buchst. c),
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Buchst. d),
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Buchst. e),
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Buchst. f). Diese Bedingung gilt nach Satz 2 nicht für die Aufgabenerfüllung von Behörden.
Rz. 40
Art. 6 Abs. 2 und 3 DSGVO enthalten Öffnungsklauseln zur Verarbeitung nach Abs. 1 Buchst. c und e.
Art. 6 Abs. 4 DSGVO regelt die Voraussetzungen für eine Zweckänderung der Verarbeitung. Diese sollte nur zulässig sein, "wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten" (EG 50 DSGVO). Zur Zweckbindung vgl. auch Rz. 43.
Im Sozialdatenschutz finden sich die entsprechenden ergänzenden Regelungen zur Zweckbindung oder -änderung vor allem in den §§ 67c und 78 SGB X. Auf die jeweiligen Kommentierungen wird ergänzend verwiesen.
2.7.1.1.2 Treu und Glauben
Rz. 41
Der Begriff "Treu und Glauben" ist neu im deutschen Datenschutzrecht. Er wurde auch in das BDSG (§ 47) übernommen, ist aber gesetzlich nicht definiert. Auch in den EG 39 und 45 der DSGVO wird lediglich wiederholt, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgen soll. In Deutschland ist Treu und Glauben ein in der Rechtsprechung und Lehre beherrschender Grundsatz, der nach seinem Wortlaut in § 242 BGB nur die Art und Weise einer geschuldeten Leistung erfasst. Der Grundsatz Treu und Glauben erfordert eine umfassende Interessenabwägung aller in Betracht kommenden Interessen, um ein gerechtes Ergebnis zu erzielen. Er schützt daher nicht nur die subjektiven Rechte einer Person, sondern auch Rechtsinstitute und Rechtsnormen.
2.7.1.1.3 Transparenz
Rz. 42
Transparenz sollte für die betroffene Person dahingehend bestehen zu wissen, dass und in welchem Umfang ihre personenbezogenen Daten verarbeitet werden. Um dies zu erreichen, sollten nach EG 39 DSGVO "alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst" werden.
Aufklärung in dieser Weise sollte insbesondere erfolgen über
- die Identität des Verantwortlichen,
- die Z...