Maß hinausgehende Verarbeitung personenbezogener Daten könnte eine unmittelbare Sanktionierung eines Verstoßes gegen den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO (vgl. Rn. 27) nach sich ziehen. Problematisch erscheint in solchen Fällen jedoch die vage Formulierung der Verarbeitungsgrundsätze. Die Verhängung einer ausschließlich auf Art. 5 Abs. 1 DSGVO i.V.m. Art. 83 Abs. 5 lit. a DSGVO gestützten Geldbuße dürfte mit dem Bestimmtheitsgrundsatz kaum in Einklang zu bringen sein.13 Auch in Anbetracht des enorm hohen Bußgeldrahmens scheint es schwierig, allein auf Grundlage eines Verstoßes gegen Verarbeitungsprinzipien Sanktionen zu verhängen. Allerdings wurde eines der bisher höchsten in Deutschland verhängten Bußgelder gerade wegen eines Verstoßes gegen Art. 5 DSGVO verhängt. Im Oktober 2019 erließ die Berliner Datenschutzbeauftragte unter Berufung auf Verstöße gegen Art. 5 und 25 DSGVO ein Bußgeld in Höhe von 14,5 Mio. EUR gegen ein Unternehmen, dessen Archivsystem keine Möglichkeit vorsah, personenbezogene Daten zu löschen.14 Zwar wurde das Bußgeld erstinstanzlich aufgehoben, allerdings lediglich aufgrund der im Bescheid nicht hinreichend dargelegten Zurechnung des Datenschutzverstoßes zu einem Organmitglied des Unternehmens nach §§ 30, 130 OWiG.15
II. Verarbeitungsgrundsätze (Abs. 1)
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (lit. a)
8
Gemäß Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
a) Rechtmäßigkeit
9
Die Anforderung, dass personenbezogene Daten „auf rechtmäßige Weise“ verarbeitet werden müssen, kann in zweifacher Hinsicht ausgelegt werden: Einerseits kann diese Formulierung dahingehend verstanden werden, dass ein Datenverarbeitungsvorgang sämtlichen Voraussetzungen der DSGVO bzw. der zulässigen nationalen Rechtsakte entsprechen muss, um dem Grundsatz der Rechtmäßigkeit gerecht zu werden.16 Ein Verstoß gegen diesen Grundsatz wäre bei Zugrundelegung eines solchen weiten Begriffsverständnisses bereits dann anzunehmen, wenn die Datenverarbeitung zwar grundsätzlich durch einen Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 DSGVO gerechtfertigt wäre, der Verantwortliche jedoch beispielsweise seiner Informationspflicht gem. Art. 13 DSGVO nicht nachkäme.17 Gegen diese extensive Auslegung spricht jedoch, dass der Bußgeldtatbestand des Art. 83 Abs. 5 lit. a DSGVO in diesem Fall mittelbar sämtliche Verstöße gegen die Verordnung blankettartig pönalisieren würde, was im Lichte des Bestimmtheitsgrundsatzes höchst bedenklich erscheint.18
10
Es ist vielmehr davon auszugehen, dass ein Datenverarbeitungsvorgang „auf rechtmäßige Weise“ i.S.d. Art. 5 Abs. 1 lit. a DSGVO erfolgt, sofern er von einer der Rechtsgrundlagen des Art. 6 Abs. 1, Abs. 4 Satz 1 DSGVO gedeckt ist19 und die Verarbeitung auch den übrigen materiellen Rechtmäßigkeitsvoraussetzungen – die Rechtmäßigkeit der Einwilligung, die Verarbeitung besonderer Kategorien personenbezogener Daten und die Übermittlung in Drittländer betreffend – entspricht.20 Für dieses engere Begriffsverständnis spricht nicht zuletzt auch ErwG 41, der für die Beurteilung der Rechtmäßigkeit einer Verarbeitung personenbezogener Daten an das Vorliegen einer Einwilligung oder das Vorhandensein einer sonstigen Rechtsgrundlage anknüpft.21
11
Ausgehend vom engeren Begriffsverständnis (vgl. oben Rn. 10) wird der Grundsatz der Rechtmäßigkeit insbesondere durch die folgenden Normen konkretisiert:
– Art. 6 Abs. 1 Satz 1 DSGVO legt die grundsätzlichen Bedingungen für die Rechtmäßigkeit einer Datenverarbeitung fest. Eine Verarbeitung ist demgemäß rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat (lit. a; siehe Art. 6 Rn. 24ff.) oder die Verarbeitung für die Erfüllung eines Vertrags (lit. b; siehe Art. 6 Rn. 54ff.), zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (lit. c; siehe Art. 6 Rn. 73ff.), zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person (lit. d; siehe Art. 6 Rn. 90ff.), für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (lit. e; siehe Art. 6 Rn. 93ff.) oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist (lit. f; siehe Art. 6 Rn. 105ff.).
– Sofern der Verantwortliche die Rechtmäßigkeit der Verarbeitung auf eine Einwilligung der betroffenen Person stützt, enthält Art. 7 DSGVO Bedingungen hierfür und Art. 8 DSGVO regelt den Sonderfall der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft.
– Die Art. 9 und 10 DSGVO enthalten besondere Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten sowie für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.
– Werden personenbezogene Daten in ein Drittland übermittelt, müssen darüber hinaus die besonderen Rechtmäßigkeitsvoraussetzungen der Art. 44ff. DSGVO erfüllt werden. Eine solche Drittlandsübermittlung ist gerechtfertigt, wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (Art. 45 DSGVO), geeignete Garantien – wie beispielsweise verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln – vorgesehen sind (Art. 46 DSGVO) oder ein Ausnahmetatbestand des Art. 49 DSGVO einschlägig ist. Insbesondere beim Einsatz von Standarddatenschutzklauseln wird dabei künftig auch die EuGH-Entscheidung „Schrems II“ zu berücksichtigen sein.22
12
Der bereits nach altem Recht häufig praktizierte Ansatz, dass Unternehmen ihre Verarbeitungsvorgänge auf mehrere Erlaubnistatbestände stützen, kann nach hier vertretener Ansicht auch unter der DSGVO beibehalten werden (siehe auch Art. 6 Rn. 21).23 Diese präventive Herangehensweise ermöglicht es, den Datenverarbeitungsvorgang auch bei Wegfall einer der verwendeten Erlaubnistatbestände in rechtmäßiger Weise fortzuführen.24 Sofern sich der Verantwortliche mehrerer Rechtsgrundlagen bedient, muss die betroffene Person aufgrund des Transparenzgrundsatzes (Rn. 16ff.) sowie des Gebots der Verarbeitung nach Treu und Glauben (Rn. 13ff.) hierüber informiert werden. Gleichwohl ist es ratsam, eine primäre Rechtsgrundlage für den jeweiligen Verarbeitungsvorgang festzulegen.25 Diese Festlegung sollte möglichst gewissenhaft erfolgen, damit der Verantwortliche im Rahmen seiner Rechenschaftspflicht (Rn. 40ff.) das Vorliegen der jeweiligen Voraussetzungen nachweisen kann.26 Zu berücksichtigen ist außerdem, dass sich aus den jeweiligen Erlaubnistatbeständen unterschiedliche Rechtsfolgen ergeben können, etwa zur Datenportabilität (vgl. Art. 20 Abs. 1 lit. a DSGVO), zum Widerspruchsrecht des Betroffenen (vgl. Art. 21 Abs. 1 Satz 1 DSGVO) oder in Hinblick auf den Widerruf der Einwilligung (vgl. Art. 7 Abs. 3 Satz 1 DSGVO).
b) Verarbeitung nach Treu und Glauben
13
Die deutsche Sprachfassung, gemäß der personenbezogene Daten nach Treu und Glauben verarbeitet werden müssen, ist insofern unglücklich, als es sich bei „Treu und Glauben“ um eines der schillerndsten Begriffspaare des deutschen Zivilrechts handelt.27 Gleichwohl verbietet sich aufgrund des Gebots der autonomen Auslegung europarechtlicher Begriffe jedweder Rückgriff auf die von der Rechtsprechung und Literatur entwickelten Grundsätze zu § 242 BGB.28 Vielmehr wird bei einem Vergleich mit der englischen Sprachfassung29 deutlich, dass im Rahmen des Art. 5 Abs. 1 lit. a Alt. 2 DSGVO die Gewährleistung einer „fairen“ Datenverarbeitung gemeint ist.30 Nichtsdestotrotz ist dieser Grundsatz vergleichsweise konturlos und nur schwer greifbar.31
14
Ein Verarbeitungsvorgang ist „fair“, wenn durch den Verantwortlichen oder Auftragsverarbeiter keine unzulässige Rechtsausübung zum Nachteil der betroffenen Person erfolgt.32 Ein Verstoß gegen das Fairnessgebot ist etwa anzunehmen, wenn der Umfang der Verarbeitung personenbezogener Daten den