Praxistipp: Datenschutz im Griff: die Grundsätze der DSGVO nach Artikel 5

Anders als früher ist die Verarbeitung personenbezogener Daten nicht mehr „verboten mit Erlaubnisvorbehalt“. Der Gesetzgeber geht vielmehr von der Tatsache der Verareitung aus – und schafft den rechtlichen Rahmen, um die Rechte und Freiheiten der Betroffenen zu schützen. Unter anderem, indem er Grundsätze definiert, die es bei der Verarbeitung personenbezogener Daten immer zu beachten gilt. Wer sie kennt und umsetzt, macht beim Datenschutz vieles richtig.

Praxisfall

Im Unternehmen wird eine neue Verarbeitungstätigkeit eingeführt: Beschäftigte im Homeoffice sollen zukünftig die Möglichkeit haben, vertrauliche Gespräche per Videokonferenz zu führen. Nun soll sichergestellt werden, dass die Vorgaben der DSGVO eingehalten werden und der Prozess dennoch möglichst unkompliziert eingeführt und umgesetzt wird. Ein klassischer Fall, um die Grundsätze des Datenschutzes zurate zu ziehen.

Gut zu wissen

„Wer die folgenden drei Bereiche der DSGVO beachtet, hat mehr als 80 % der Regeln für den Datenschutz im Griff und kann beim Datenschutz nicht mehr viel falsch machen.“ Dieser Satz löst bei Vorträgen ungläubiges Staunen aus und führt nicht selten dazu, dass man sich als Vortragender plötzlich einer Front von eilig gezückten Smartphones gegenübersieht. Der Grund: Die Zuhörenden wollen von den folgenden drei Folien nichts verpassen. Wenn Datenschutz tatsächlich so einfach sein könnte ...

Risiken – von der Untersuchung über Geldbußen bis zum Vollzug von Anordungen

Werden personenbezogene Daten in einer Weise verarbeitet, die den Vorgaben der DSGVO widerspricht, greifen die Aufsichtsbehörden ein. Um dies erfolgversprechend tun zu können, stehen eine ganze Reihe von Möglichkeiten bereit. Aufsichtsbehörden dürfen unter- suchen, Anweisungen geben, verwarnen, untersagen. Vom Anfordern von Informationen über datenschutzrechtliche Überprüfungen bis zur Durchsuchung der Geschäftsräume stehen ihnen damit – je nach Eskalationsstufe immer schärfer werdende – Werkzeuge zur Verfügung. Möglich sind natürlich auch die vielzitierten Geldbußen, quasi als letztes Mittel.

Wie ist denn eigentlich zu verarbeiten?

Nach dem alten Datenschutzrecht bis zum 24. Mai 2016 (Inkrafttreten) bzw. 24. Mai 2018 (Rechtsgültigkeit) wurde von einem Verbotsgesetz mit Erlaubnisvorbehalt gesprochen. Heute kann man natürlich auch sagen, dass es verboten sei, personenbezogene Daten außerhalb der Grundsätze nach Artikel 5 der DSGVO und der Anforderungen an die Recht- mäßigkeit zu verarbeiten. Der für das deutsche bzw. preußische Recht typische Begriff vom Verbot und der Erlaubnis trifft den Sachverhalt der DSGVO allerdings nur noch bedingt.

Die DSGVO geht von der Verarbeitung personenbezogener Daten aus

Dass das so ist, kann man Art. 1 der DSGVO entneh- men. Dort heißt es im ersten Absatz: „Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ Hier ist keine Rede mehr von einem Verbot der Verarbeitung personenbezogener Daten – im Gegenteil. Dass personenbezogene Daten verarbeitet werden, ist Fakt – basta. Dass gleichzeitig natürliche Personen geschützt werden sollen, ist hier die Grundlage. Bei der DSGVO handelt es sich also vielmehr um ein Schutzgesetz als ein Verbotsgesetz mit Erlaubnisvorbehalt. Dieser Schutz wird unter anderem in den Grundsät- zen zur Verarbeitung personenbezogener Daten sichergestellt. Daher sollen hier die Grundsätze zur Verarbeitung von personenbezogenen Daten näher betrachtet werden. Weitere Praxistipps werden die Grundsätze übrigens im Einzelnen vertiefen – ein Grund, sie nicht zu verpassen!

Die Grundsätze im Überblick: Die Grundsätze nach Artikel 5 sind in aller Kürze

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Gleich im Anschluss regelt die DSGVO, dass Verantwortliche – das ist in der Regel die Geschäftsführung – für die Einhaltung der Grundsätze verantwortlich sind. Für alle Abläufe, in denen personenbezogene Daten verarbeitet werden, müssen sie nachweisen können, dass sie die Grundsätze einhalten. Sämtliche, ohne Ausnahme.

Prüfen und planen

Wie geht man dabei am besten vor? Erst den Prozess definieren oder erst die Grundsätze prüfen? Klare Antwort: Kommt drauf an. Für Prozesse, die bereits laufen, sind die Vorgaben aus Artikel 30 der DSGVO zu erfüllen. Darin schreibt der Gesetzgeber fest, welche Angaben zu einem Prozess im Verzeichnis der Verarbeitungstätigkeiten festzuhalten sind. Dabei ist zu prüfen, ob die Grundsätze der Datenverarbeitung laut DSGVO eingehalten werden. Für neue Prozesse ist empfehlenswert, schon in der Planungsphase zu prüfen, ob und wie die Grundsätze eingehalten werden können.

Und wenn nicht?

Was kann man tun, wenn einzelne Grundsätze nicht eingehalten werden können? Dann empfiehlt es sich, eine Datenschutz-Folgenabschätzung vorzunehmen, da dann die zentrale Bedingung des Artikel 35 der DSGVO eintritt. Können die Grundsätze nicht eingehalten werden (sprich, wenn die „Umstände der Verarbeitung“ zu einem höheren Risiko für die Rechte und Freiheiten natürlicher Personen führen), ist die Datenschutz- Folgenabschätzung durchzuführen. Möglicherweise können die Risiken durch geeignete technische und organisatorische Maßnahmen abgefedert werden, beispielsweise durch starke Verschlüsselung oder Pseudonymisierung, die nahe an eine Anonymisierung heranreicht. Dadurch kann es zu einer Neubewertung der Risiken kommen, die laut DSGVO in einem solchen Fall vorzunehmen ist. Sollten die Risiken weiterhin hoch sein, konsultiert der Verantwortliche die Aufsichtsbehörde

Hier gibts den Praxistipp als kostenlosen PDF-Download: