Rechtmäßigkeit
I. Allgemeines
1. Zweck der Vorschrift
1
Die DSGVO enthält in Art. 5 Abs. 1 Grundsätze für die Verarbeitung personenbezogener Daten, an denen sich jeder Datenverarbeitungsvorgang im Anwendungsbereich der Verordnung messen lassen muss.1 Gegenüber den bereits im BDSG a.F. angelegten Verarbeitungsgrundsätzen,2 die eher als abstrakte Leitmotive formuliert waren und deren Missachtung keine Ordnungswidrigkeit gem. § 43 Abs. 1, 2 BDSG a.F. darstellte, erwachsen aus den Prinzipien des Art. 5 Abs. 1 DSGVO nunmehr auch konkrete Verpflichtungen. Zwar ordnet Art. 5 Abs. 1 DSGVO keine unmittelbare Rechtsfolge an; ein Verstoß gegen die dort aufgezählten allgemeinen Strukturprinzipien3 kann gleichwohl gem. Art. 83 Abs. 5 lit. a DSGVO (siehe Art. 83 Rn. 139) mit einer Geldbuße i.H.v. bis zu 20 Mio. EUR oder im Fall eines Unternehmens i.H.v. bis zu 4 % seines weltweit erzielten Jahresumsatzes geahndet werden (vgl. dazu Rn. 7). Insofern haben die Verarbeitungsgrundsätze im Rahmen der DSGVO eine deutliche Aufwertung erfahren und erheblich an Bedeutung gewonnen.
2
Nach Maßgabe des Art. 5 Abs. 2 DSGVO muss der Verantwortliche im Rahmen seiner Rechenschaftspflicht die Einhaltung der Verarbeitungsgrundsätze des Abs. 1 nachweisen können. Gelingt dieser Nachweis nicht, droht ebenfalls eine Geldbuße nach Art. 83 Abs. 5 lit. a DSGVO.
2. Entstehungsgeschichte
3
Die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben sowie der Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung waren in ähnlicher Form bereits in Art. 6 Abs. 1 lit. a bis e der Richtlinie 95/46/EG4 normiert. Das Transparenzgebot i.S.d. Art. 5 Abs. 1 lit. a DSGVO war der DSRl hingegen unbekannt und stellt insofern einen neuen Datenverarbeitungsgrundsatz dar.5 Überdies sind auch das Gebot der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f DSGVO sowie die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht als Neuerungen gegenüber der DSRl anzusehen.6
4
Im Vergleich zu den Entwurfsfassungen der DSGVO weist Art. 5 in seiner konsolidierten Fassung zwar einige inhaltliche Unterschiede auf. Von diesen gehen jedoch nur wenige über bloße Umformulierungen hinaus.7
3. Verhältnis zu anderen Vorschriften
5
Da die in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze für die Verarbeitung personenbezogener Daten die gesamte Verordnung durchziehen,8 ist davon auszugehen, dass sie künftig bei der Auslegung der anderen Vorschriften eine wesentliche Rolle spielen werden.9 Die übrigen Vorschriften der DSGVO sind so auszulegen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO bestmöglich verwirklicht werden.10 Die Verarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO werden durch eine Reihe von Vorschriften konkretisiert:
– Die Art. 6 bis 10 DSGVO (materielle Rechtmäßigkeit der Datenverarbeitung) sowie die Art. 44ff. DSGVO (Datenübermittlung in Drittländer) enthalten spezielle Regelungen betreffend die Rechtmäßigkeit der Verarbeitung personenbezogener Daten.
– Der Transparenzgrundsatz wird durch die Art. 13, 14, 15 DSGVO (Informationspflicht des Verantwortlichen/Auskunftsrecht der betroffenen Person) näher ausgestaltet.
– Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) ist – jedenfalls auch – eine konkrete Ausprägung des Grundsatzes der Datenminimierung.
– Der Richtigkeitsgrundsatz wird durch Art. 16 DSGVO (Recht auf Berichtigung) ausgeformt.
– Der Grundsatz der Integrität und Vertraulichkeit bildet die Grundlage für die Regelungen in Art. 32 Abs. 1 Hs. 2 lit. b, 28 Abs. 3 Satz 2 lit. b DSGVO (technische und organisatorische Maßnahmen).
6
Art. 5 DSGVO ist im Rahmen der Öffnungsklausel des Art. 23 DSGVO beschränkbar, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zur Sicherstellung der Rechtsgüter des Art. 23 Abs. 1 lit. a bis j DSGVO (siehe Art. 23 Rn. 14ff.) darstellt. Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und in den §§ 4 Abs. 3 Satz 3,11 23, 24, 32–36 BDSG Ausnahmen vom Zweckbindungsgrundsatz des Art. 5 Abs. 1 lit. b DSGVO (Rn. 22–26) sowie Beschränkungen der Betroffenenrechte vorgesehen.12 So dürfen beispielsweise öffentliche Stellen personenbezogene Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, verarbeiten, wenn dies zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist, § 23 Abs. 1 Nr. 5 BDSG.
4. Sanktionierung
7
Die Nichtbeachtung der oben genannten Konkretisierungsvorschriften ist bereits für sich genommen bußgeldbewehrt. Dennoch sind Konstellationen denkbar, in denen der Verantwortliche ausschließlich und unmittelbar aufgrund eines Verstoßes gegen Art. 5 Abs. 1 DSGVO sanktioniert werden könnte: Beispielsweise stellt die Verarbeitung sachlich unrichtiger Daten einen gem. Art. 83 Abs.