technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. EG Nr. 241/1 vom 17.9.2015, S. 1); zu den Problemen dieser Verweisung Kühling/Buchner, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 25 Rn. 5a. 861 Khan/Eisenhut, in: Vedder/Heintschel von Heinegg, Europäisches Unionsrecht, Art. 57 AEUV Rn. 11. 862 Vgl. EuGH, Urt. v. 3.10.2006, Rs. C-452/04 – Fidium Finanz AG; EuGH, Urt. v. 24.3.1994, Rs. C-275/92 – Schindler. 863 Dies entspricht insoweit auch der Wertung von Art. 8 Abs. 3 DSGVO, wonach die Regelungen zur Einwilligungserteilung eines Kindes in Bezug auf Dienste der Informationsgesellschaft das Vertragsrecht der Mitgliedstaaten unberührt lassen. Insofern bedarf es im Falle der Durchführung eines (nach dem jeweiligen nationalen Recht wirksamen) Kaufvertrags ohnehin keiner Einwilligung des betroffenen Kindes i.S.v. Art. 8 DSGVO, da die Rechtfertigung der hierzu erforderlichen Datenverarbeitung aus Art. 6 Abs. 1 lit. b DSGVO folgt. 864 EuGH, Urt. v. 25.3.2004, Rs. C-71/02, Rn. 47 – Karner; Müller-Graff, in: Streinz, EUV AEUV, Art. 56 AEUV Rn. 25. 865 Vgl. etwa das Anbieten eines kostenfreien Internetzugangs in einem Ladenlokal (EuGH, Urt. v. 15.9.2016 – C-484/14, K&R 2016, 733 = ZD 2016, 578, 579, Rn. 43 – McFadden). 866 Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 25 Rn. 8. 867 Schumacher, K&R 2015, 771, 775. 868 Randelzhofer/Forsthoff, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 57 AEUV Rn. 45 dort Fn. 9 m.w.N. 869 EuGH, Urt. v. 11.9.2014 – C-291/13, MMR 2016, 63 Rn. 28, 29 – Papasavvas. 870 EuGH, Urt. v. 15.9.2016 – C-484/14, K&R 2016, 733 = ZD 2016, 578, 579, Rn. 42 – McFadden. 871 Kühling/Buchner, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 25 Rn. 6f. 872 So auch Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 25 Rn. 9. 873 EuGH, Urt. v. 15.9.2016 – C-484/14, K&R 2016, 733 = ZD 2016, 578 m. Anm. Weisser/Färber – McFadden. 874 EuGH, Urt. v. 11.9.2014 – C-291/13, MMR 2016, 63 Rn. 28, 29 – Papasavvas; vgl. auch Tiedje, in: von der Groeben/Schwarze/Hatje, Art. 57 AEUV Rn. 14, 17 m.w.N. 875 EuGH, Urt. v. 3.10.2002 – C 136/00; EuGH, Urt. v. 27.9.1988 – 263/86, Rn. 17,19; EuGH, NVwZ 1994, 366, 367. 876 Gola, in: Gola, DS-GVO, Art. 4 Rn. 122. 877 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 96. 878 Weber, in: Creifelds, Rechtswörterbuch 2016. 879 Vgl. Definition der ILC, Report of the International Law Commission, Fifty-fifth session Report 2003, Responsibility of international Organizations, Art. 3, S. 33. 880 Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 98.
Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
1 a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
2 b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
3 c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
4 d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
5 e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
6 f)in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Mit der Norm korrespondiert der Erwägungsgrund 39.
Literatur: Çalışkan, Auswirkungen der DS-GVO auf Kommunikationsprozesse – Hindernisse für die Kontaktaufnahme durch die neuen Informationspflichten?, ZD-Aktuell 2018, 04327; Jung, Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO, ZD 2018, 208; Jungkind/Raspé/Schramm, Risikoanalyse und zusätzliche Maßnahmen – Konzerninterner US-Datentransfer nach „Schrems II“, NZG 2020, 1056; Keppeler/Berning, Technische und rechtliche Probleme bei der Umsetzung der DS-GVO-Löschpflichten, ZD 2017, 314; Kuner/Bygrave/Docksey (Hrsg.), The EU General Data Protection Regulation (GDPR), Oxford 2018; Veil, Accountability – Wie weit reicht die Rechenschaftspflicht der DS-GVO?, ZD 2018, 9; Voigt, Praxisprobleme im Zusammenhang mit den EU-Standardvertragsklauseln zur Auftragsverarbeitung – mehr als „nur“ Schrems II..., CR 2020, 513; Voigt, IT-Sicherheitsrecht, Köln 2018; von dem Bussche/Voigt, Konzerndatenschutz, 2. Aufl., München 2019; Wächter, Datenschutz im Unternehmen, 5. Aufl., München 2017.
Übersicht
| Rn. | |
| I. Allgemeines | 1 |
| 1. Zweck der Vorschrift | 1 |
| 2. Entstehungsgeschichte | 3 |
| 3. Verhältnis zu anderen Vorschriften | 5 |
| 4. Sanktionierung | 7 |
| II. Verarbeitungsgrundsätze (Abs. 1) | 8 |
| 1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
| |