Das Datenschutzrecht prägt mittlerweile mehr und mehr unseren Alltag, indem wir in vielen Lebenssituationen – gefühlt mehr als früher – damit konfrontiert werden. Man denke nur an den Besuch verschiedener Webseiten nach Inkrafttreten der Datenschutzgrundverordnung im Mai des Jahres 2018 – Stichwort Cookiehinweis -, man denke auch an die zahlreichen Einwilligungserklärungen zum Datenschutzrecht, mit denen man entweder per E-Mail, in Schulen, Kindertageseinrichtungen, bei Banken oder auch Apotheken in den verschiedensten Varianten konfrontiert wird.
Die am 25.05.2018 in Kraft getretene Datenschutzgrundverordnung hat hierbei insgesamt die Sensibilität von Unternehmen und auch damit einhergehend von Verbrauchern spürbar erhöht.
Das seltsame daran ist, dass in den wesentlichen Grundzügen auch bereits vor Inkrafttreten der Datenschutzgrundverordnung ähnliche und gleiche Rechte und Pflichten von Unternehmen bestanden. Jedoch hat anscheinend erst die Datenschutzgrundverordnung, ggfs. auch aus Gründen der hohen Straferwartung bei Nichteinhaltung der Datenschutzgrundsätze, dazu beigetragen, dass sich die Verantwortlichen mehr und mehr mit dem Datenschutz beschäftigen und Unternehmen sich insbesondere dazu veranlasst sehen, die datenschutzrechtlichen Grundsätze auch in ihren Unternehmen zu verwirklichen und zu leben.
Doch was sind eigentlich die Grundsätze des Datenschutzrechts?
Die Grundsätze des Datenschutzrechts veranschaulichen, wofür der Datenschutz gedacht ist, warum er so wichtig ist, und auf welche Verhaltensweisen bei dem Umgang mit personenbezogenen Daten durch den Gesetzgeber Wert gelegt wird. Die Grundsätze für die Verarbeitung von personenbezogenen Daten finden sich in Art. 5 der DSGVO wieder.
Hierzu auszugsweise im Einzelnen wie folgt:
Grundsatz der Transparenz und der rechtmäßigen Erhebung
In Art. 5 Abs. 1 a DSGVO wird der Grundsatz der Transparenz der Rechtmäßigkeit der Erhebung als erster Grundsatz für die Bearbeitung von personenbezogenen Daten hervorgehoben. Dieser Grundsatz nimmt direkten Bezug auf einen weiteren Grundsatz der Rechtmäßigkeit der Datenverarbeitung, wonach grundsätzlich die Verarbeitung von personenbezogenen Daten nur dann erlaubt ist, wenn die betroffene Person ausdrücklich in die entsprechende Verarbeitung eingewilligt hat oder einer der anderen Erlaubnistatbestände vorliegt. Insofern gilt der Grundsatz, wie bereits auch schon im Bundesdatenschutzgesetz, dass nur dann eine Bearbeitung von Daten erlaubt ist, wenn das Gesetz diese Form der Verarbeitung ausdrücklich als rechtmäßig beurteilt oder eine Einwilligung des Betroffenen gegeben ist.Gleichzeitig wird in Art. 5 Abs. 1 a DSGVO der Grundsatz der Transparenz hervorgehoben. Dieser geht einher mit dem Erfordernis, dass jeder Betroffene, bei dem personenbezogene Daten erhoben werden, einen Anspruch darauf hat, zu wissen, um welche Daten es sich hierbei handelt.
Grundsatz der Zweckbindung
In Art. 5 Abs. 1 b DSGVO wird der Grundsatz der sogenannten Zweckbindung festgelegt. Danach dürfen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und weiterverarbeitet werden. Der Grundsatz der Zweckbindung beabsichtigt Wirkungen gleich in zweierlei Richtungen. Einerseits soll dem Verantwortlichen (dem „Datenverarbeiter“) vor Augen geführt werden, für welchen Zweck er denn genau die entsprechenden Daten überhaupt erhebt. Unnötige Zwecke sollen hierbei von vorneherein ausscheiden. Insofern kann man vereinfacht sagen, dass die Zweckbindung, die der Unternehmer selbst beispielsweise in einem Verarbeitungsverzeichnis niederlegen muss, den Zweck erfüllen soll, dass er sich über den Grund der Datenerhebung im Klaren ist. Andererseits soll es dem von der Datenerhebung Betroffenen genau vor Augen führen, aus welchem Grund die über ihn existierenden Daten beim Unternehmer überhaupt erhoben werden.
Grundsatz der Datenminimierung
Art. 5 Abs. 1 c DSGVO statuiert den Grundsatz der sogenannten Datenminimierung. Dieser geht ebenfalls gedanklich einher mit dem Grundsatz der Zweckbindung, wonach für den in den sachlichen Anwendungsbereich der DSGVO fallenden Unternehmer klargemacht werden soll, dass er peinlichst darauf zu achten hat, so wenig Daten wie nötig vom Betroffenen zu erheben.
Grundsatz der Richtigkeit
Ein weitere nicht zu unterschätzender Aspekt ist der sogenannte Grundsatz der Richtigkeit. Danach muss sichergestellt werden, dass die erhobenen Daten sachlich richtig und insbesondere auf den neusten Stand sind. Auch dieses Erfordernis ist für Unternehmen sicherlich nicht immer leicht umzusetzen.
Grundsatz der Speicherbegrenzung
In Art. 5 Abs. 1 e DSGVO ist der sogenannte Grundsatz der Speicherbegrenzung geregelt. Dieser soll gewährleisten, dass grundsätzlich rechtmäßig erhobene Daten nur für einen solchen Zeitraum beim Verantwortlichen gespeichert werden, für welchen er diese auch nur benötigt. Auch hierdurch soll dem Betroffenen im Hinblick auf seine Daten größtmöglicher Schutz zugesprochen werden.
Grundsatz der Integrität und Vertraulichkeit
Des Weiteren ist der Verantwortliche dazu verpflichtet, die ihm übermittelten Daten so sicher wie möglich gegen Zugriff von Dritte zu schützen.
Rechtsfolgen bei Verstößen
Art. 83 DSGVO sieht einen umfangreichen Sanktionskatalog für den Fall von Verstößen bereits gegen diese allgemeinen Grundsätze vor. Es handelt sich daher bei den Grundsätzen nicht um ein rein dogmatisches, dem Gesetz vorangestelltes, Maximenwerk, sondern schlicht und ergreifend um einzuhaltende Vorschriften. Art. 83 Abs. 5 DSGVO sieht hierbei vor, dass im Falle des Verstoßes gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Art. 5, 6, 7 und 9 der Verordnung eine Geldbuße von bis zu 20.000.000,00 EUR verhängt werden kann. Die datenschutzrechtliche Umsetzung der Verordnung vorangestellten Grundsätze wird sodann im weiteren Verlauf der Datenschutzgrundverordnung weiter konkretisiert.
Was können wir für Sie tun?
Dem Laien dürfte es jedoch unmöglich sein, hier alleine den Überblick zu behalten. Wir als Fachanwaltskanzlei für IT-Recht bieten Ihnen hierbei die passende und richtige Hilfe an. Wir erstellen für Sie und Ihr Unternehmen, unabhängig von der Größe, Ihre datenschutzrechtliche Compliance oder überprüfen gern einzelne Vorgänge auf Ihre datenschutzrechtliche Rechtmäßigkeit. Setzen Sie sich daher gern bei Fragen zum Datenschutz mit uns unverbindlich in Verbindung. Rufen Sie uns an, senden Sie uns eine E-Mail oder schicken uns ein Fax.