Praxishandbuch DSGVO. Tobias Rothkegel
1. Rechtmäßigkeit und Verarbeitung nach Treu und Glauben
4
Die Prinzipien der Rechtmäßigkeit gemäß Art. 5 Abs. 1 lit. a Var. 1 DSGVO und der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a Var. 2 DSGVO prägen die Struktur der DSGVO in besonderem Maße. Wegen des Grundsatzes der Rechtmäßigkeit bedarf jede Datenverarbeitung einer Rechtsgrundlage i.S.d. Art. 6 Abs. 1 S. 1 DSGVO.3 Dieser Rechtsgedanke wird „Verbot mit Erlaubnisvorbehalt“ genannt – grundsätzlich ist deshalb jede Verarbeitung verboten, soweit nach Art. 6 Abs. 1 DSGVO (oder einer anderen Rechtsvorschrift) keine Erlaubnis existiert.
5
Zu den häufigsten Rechtfertigungsgründen gehören die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Erfüllung des Vertragszwecks nach Art. 6 Abs. 1 lit. b DSGVO sowie die Verarbeitung aus Gründen berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.4 In Sonderkonstellationen müssen dabei zusätzliche Rechtmäßigkeitsanforderungen eingehalten werden, etwa die Voraussetzungen an die Rechtmäßigkeit einer (wirksamen) Einwilligung (Art. 4 Nr. 11, Art. 7 DSGVO), die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) und/oder die Übermittlung in Drittländer (Art. 44ff. DSGVO).5
6
Eine genauere Definition des Bedeutungsgehalts der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a Var. 2 DSGVO existiert nicht.6 Allerdings lassen sich aus dem inhärenten Fairnessgebot verschiedene für die Praxis relevante Fallgruppen potenzieller Verstöße bilden, die eine Annäherung ermöglichen: Grundsätzlich ist eine „faire“ Datenverarbeitung gegeben, wenn durch den Verantwortlichen oder Auftragsverarbeiter keine unzulässige Rechtsausübung zu einem beachtlichen Nachteil des Betroffenen stattfindet.7
Beispiel
Verstöße gegen das Fairnessgebot liegen beispielsweise vor, soweit
– der Umfang der Verarbeitung personenbezogener Daten die durch den Verantwortlichen geweckten Erwartungen des Betroffenen massiv übersteigt – etwa bei heimlichen Verarbeitungen;8
– Wertungen der Europäischen Grundrechtecharta unterminiert werden;
– die vernünftigen Erwartungen der betroffenen Personen i.S.v. Art. 6 Abs. 1 lit. f DSGVO unberücksichtigt bleiben;
– das (allgemeine) Kopplungsverbot nach Art. 7 Abs. 4 DSGVO missachtet wird9 und/oder
– die Abhängigkeit im Beschäftigungsverhältnis unberücksichtigt bleibt.10
Denkbare Anwendungsfälle können sich aus dem Einsatz bzw. der Verknüpfung verschiedener (innovativer) Technologien oder auch aus unvorhersehbaren Zweckänderungen ergeben. Ein aktuelles Beispiel kann etwa die überraschende Nutzung sog. Corona-Listen für polizeiliche Ermittlungszwecke, entgegen dem Wortlaut von Sperrklauseln in einigen Bundesländern sein.11
Insgesamt stellt der Grundsatz von Treu und Glauben eher einen Auffangtatbestand dar, der Konstellationen erfasst, in denen der Betroffene durch eine Verarbeitung seiner personenbezogenen Daten einen erheblichen Nachteil erfährt, der in einem massiven Widerspruch zum Kräftegleichgewicht des Verantwortlichen steht – (auch) unabhängig von einem Verstoß gegen ein gesetzliches Verbot.12 Dementsprechend wird die Prüfung dieses Grundsatzes in der Praxis eher einen Ausnahmefall bilden.
2. Transparenz
7
Das Transparenzgebot ist in Art. 5 Abs. 1 lit. a Var. 3 DSGVO statuiert.13 Es legt fest, dass personenbezogene Daten in einer für den Betroffenen nachvollziehbaren Art und Weise verarbeitet werden müssen.14
8
Der Betroffene muss die Möglichkeit haben, sich auf Grundlage der zur Verfügung gestellten Informationen eigenständig für oder gegen die Verarbeitung und den jeweiligen Inhalt entscheiden zu können.15 Eine Konkretisierung erfährt der Grundsatz insbesondere durch Erwägungsgrund 39 zur DSGVO, der bestimmt, dass Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in folgender Weise zur Verfügung gestellt werden müssen:
– leicht zugänglich,
– verständlich,
– in klarer und einfacher Sprache.16
9
Als Ausfluss des Transparenzgebots normieren vor allem die Informations- und Auskunftspflichten in den Art. 12–22 DSGVO, insbesondere Art. 13, 14 und 15 DSGVO konkretere Pflichten für den Verantwortlichen.17
3. Zweckbindung
10
Der Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b DSGVO ist ebenfalls von besonders hervorgehobener Bedeutung:18 Danach dürfen personenbezogene Daten ausschließlich für die bei der Erhebung festgelegten, eindeutigen und legitimen Zwecke verarbeitet werden. Im Kern bedeutet dies, dass eine Datenerhebung quasi „auf Vorrat“ unzulässig ist, weil hier ein Zweck bei der Erhebung noch nicht feststeht sondern erst nachträglich bestimmt werden soll.
11
Der Verantwortliche muss die Zwecke ausdrücklich festlegen, was einem Akt der Selbstbindung gleichkommt.19 Dies muss bereits vor dem Verarbeitungsvorgang geschehen und erfordert deshalb einige Vorüberlegungen.20 Unbestimmte oder unzulässige Zwecke genügen mithin den Anforderungen an eine Festlegung nicht.21
12
Aus der Eindeutigkeit folgt die Notwendigkeit der Konkretisierung der jeweiligen Zwecke, indem sie ausdrücklich bezeichnet und inhaltlich hinreichend bestimmt werden.22 Zwar ist keine bestimmte Form festgelegt, es empfiehlt sich aber eine schriftliche Dokumentation, die eine Nachweisfunktion erfüllen kann.23 Der Begriff „eindeutig“ bedeutet jedoch nicht, dass jeweils nur ein einziger Verarbeitungszweck festgelegt werden darf.24 Es ist deshalb zulässig, von vornherein auch eine Mehrzahl von Zwecken festzulegen, soweit diese sämtlich hinreichend bestimmt sind.25
13
Der Verarbeitungszweck ist legitim, soweit für ihn eine geeignete Rechtsgrundlage existiert und er nicht im Widerspruch zu einer geltenden Rechtsnorm steht.26
14
Schließlich gilt für Verarbeitungen, die nicht 1:1 den ursprünglichen Erhebungszwecken entsprechen, dass sie nicht von vornherein unzulässig sind – sie müssen aber zumindest mit ihnen kompatibel sein.27 Die Kompatibilität der Zwecke ist u.a. an den Kriterien aus Art. 6 Abs. 4 DSGVO zu messen,28 die Aufschluss darüber geben, ob die (Weiter-)Verarbeitung zu einem anderen Zweck mit dem ursprünglichen Erhebungszweck vereinbar ist.29 Soweit der Kompatibilitätstest negativ ausfällt, ist eine Weiterverarbeitung ohne Einwilligung ausgeschlossen.30
15
Grundsätzlich möglich ist es aber, dass der Verantwortliche von der ursprünglichen Zwecksetzung abweicht, allerdings nur, wenn der neue Weiterverarbeitungszweck mit dem anfänglich festgelegten Zweck gemäß Art. 6 Abs. 4 DSGVO kompatibel ist, eine Rechtsvorschrift die Zweckänderung ausdrücklich zulässt oder eine dahingehende Einwilligung des Betroffenen vorliegt.
4. Datenminimierung
16