Grundsätze des Datenschutzes
Datenschutz ist ein Rechtsgebiet, das sich in den letzten zehn Jahren deutlich im öffentlichen Bewusstsein verankert hat, insbesondere in der erste Jahreshälfte 2018, als gegen Ende der Übergangsfrist bei der Einführung der EU-Datenschutz-Grundverordnung vielfältige Aktivitäten in den Unternehmen einsetzen, die das Ziel hatten, bis zum Einführungsdatum am 25.05.2018 möglichst alle noch offenen Datenschutzfragen abschließend und rechtssicher zu organisieren.
Aus diesem Grund erscheint es mir sinnvoll und wichtig, die dem Datenschutzrecht zugrundeliegenden Prinzipien und Schutzziele zusammenzufassen und zu erläutern.
Recht auf informationelle Selbstbestimmung
Die zentrale Aufgabe des Datenschutzes ist es, den Bürger vor der Beeinträchtigung seines Persönlichkeitsrechts durch andere, die seine Daten verarbeiten oder nutzen, zu schützen. Zur Durchsetzung des Ziels haben der europäische und der deutsche Gesetzgeber die jetzt neu geltenden Rechtsvorschriften
– EU-Datenschutz-Grundverordnung (DSGVO) und
– Bundesdatenschutzgesetz (BDSG)
erlassen.
Die europäische Komponente verfolgt in diesem Rahmen die folgenden Ziele:
– Einheitliche Rechtsgrundlage in Form einer Verordnung (Rechtssicherheit und Wettbewerbsgleichheit innerhalb der Europäische Union),
– Eindeutige Zuständigkeit einer einzelnen Datenschutzbehörde,
– Einheitlich hohes Datenschutzniveau,
– Berücksichtigung der Besonderheiten von Polizei und Justiz in der Rechtsarchitektur,
– Besondere Aufmerksamkeit für kleine und mittlere Unternehmen,
– Ausgewogene Berücksichtigung aller Grundrechte und
– Offenheit des neuen Rechtsrahmens für zukünftige technologische und wirtschaftliche Entwicklungen.
Die EU-Datenschutz-Grundverordnung
Die EU-Datenschutz-Grundverordnung wurde in der datenschutzrechtlichen Fachliteratur unterschiedlich bewertet.
„Nach mehreren Jahren vorbereitender Diskussion und einem anschließenden Gesetzgebungsprozess von über vier Jahren ist sie am 25.05.2016 in Kraft getreten. Sie wurde mit großen Versprechen angekündigt, mit hohen Erwartungen versehen, mit tiefen Enttäuschungen aufgenommen und durch viel Lobby-Arbeit beeinflusst. Sie wird – vor allem von den an ihrem Entstehen Beteiligten – als „Meilenstein“ bezeichnet, als „Goldstandard“ gepriesen sowie als „Beginn einer neuen Zeitrechnung des Datenschutzrechts“ und als „festes Fundament für die anstehenden Herausforderungen der Digitalisierung“ gefeiert. Umgekehrt wird sie von anderen zu „einem der schlechtesten Gesetze des 21. Jahrhunderts“ gekürt und für das Datenschutzrecht als „größte Katastrophe des 21. Jahrhunderts“ bezeichnet.“ [1]
Grundsätze des Datenschutzes
Die Grundsätze des Datenschutzes auf der Basis der EU-Datenschutz-Grundverordnung und des (neues) Bundesdatenschutzgesetzes haben gegenüber der Regelung vor dem 25.05.2018 keine wesentlichen Veränderungen mit sich gebracht.
1. Rechtmäßigkeit der personenbezogenen Datenverarbeitung
Die personenbezogene Datenverarbeitung muss in jedem Fall auf einer rechtlich zulässigen Grundlage erfolgen. In den meisten Fällen beruht sie auf einem Vertragsverhältnis, einer rechtlichen Verpflichtung oder einer freiwilligen Einwilligung der betroffenen Person.
2. Personenbezogene Datenverarbeitung nach Treu und Glauben
Die personenbezogene Datenverarbeitung muss in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Die betroffene Person muss über Inhalt, Zweck und nähere Umstände der Verarbeitung ihrer personenbezogenen Daten informiert werden.
3. Zweckbindung
Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie angegeben wurden. Dieser Zweck muss eindeutig festgelegt und zulässig sein.
4. Datensparsamkeit und Speicherbegrenzung
Die personenbezogene Datenverarbeitung muss dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
5. Richtigkeit und Aktualität
Die personenbezogene Datenverarbeitung muss sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden können.
6. Integrität und Vertraulichkeit
Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen in einer Weise verarbeitet werden, die eine angemessene Datensicherheit gewährleistet, einschließlich dem Schutz vor unberechtigtem Zugriff, vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
7. Grundsatz der Verantwortlichkeit
Verantwortlich für einen ordnungsgemäßen Umgang mit den personenbezogenen Daten betroffener Personen sind die Unternehmen, die diese Daten verarbeiten.
8. Unabhängige Kontrolle
Die betroffene Person hat weitreichende Rechte zur Kontrolle der Verarbeitung ihrer personenbezogenen Daten (Recht auf Auskunft und Benachrichtigung, auf Berichtigung sowie auf Löschung oder Einschränkung der Verarbeitung). Der Datenschutzbeauftragte des Unternehmens wirkt auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. Die Datenschutz-Aufsichtsbehörden prüfen die Umsetzung des Datenschutzes in den Unternehmen und können bei Bedarf Sanktionen aussprechen.
[1] Prof. Dr. Alexander Roßnagel [Hrsg.]: Europäische Datenschutz-Grundverordnung, Nomos 2017, S. 49, Rn. 1