Zu den Grundsätzen der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO gehören:
- Zweckbindung
- Datenminimierung
- Speicherdauerbegrenzung
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Richtigkeit
- Speicherdauerbegrenzung
- Integrität und Vertraulichkeit
Die EU-DSGVO fordert von einem Kanzleiinhaber ein Datenschutzmanagement, dessen technische und organisatorische Maßnahmen umgesetzt, überprüft und aktualisiert werden.
EU-DSGVO 2018: Verbot mit Erlaubnisvorbehalt
Jede Datenverarbeitung bedarf einer gesetzlichen Rechtfertigung. Bei einer Datenerhebung ist außerdem der Zweck, für den die Daten verarbeitet werden sollen, konkret festzulegen.
Als wichtigster Fall für eine zulässige Datenverarbeitung gilt auch nach der Datenschutzgrundverordnung der allgemeine Grundsatz des Verbots mit Erlaubnisvorbehalt. Danach ist grundsätzlich verboten, was nicht ausdrücklich erlaubt ist. Hieraus folgt, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten verboten sind, es sei denn,
- sie sind durch eine Rechtsvorschrift ausdrücklich erlaubt oder angeordnet oder
- der Betroffene hat dazu seine Einwilligung erklärt.
Soll eine Einwilligung Grundlage für eine Erhebung, Verarbeitung oder Nutzung sein, ist zu beachten, dass
- sie freiwillig erfolgen muss,
- grundsätzlich der Schriftform bedarf (es sei denn, wegen besonderer Umstände ist eine andere Form angemessen),
- der Betroffene auch darüber zu informieren ist, was geschieht, wenn er nicht einwilligt.
Bei der Verarbeitung besonderer Arten personenbezogener Daten muss sich die Einwilligung ausdrücklich auf diese Daten beziehen. Es handelt sich hierbei um Angaben über
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder politische Überzeugungen
- Gewerkschaftszugehörigkeit
- Gesundheit
- Sexualleben
Personenbezogene Daten: Keine Verwendung für andere Zwecke
Die Möglichkeiten der Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterliegen einer Vielzahl von Einschränkungen. Bereits bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. Dies gilt auch für die geschäftsmäßige Datenverarbeitung. Eine Verwendung für andere Zwecke kommt u.a. nur in Betracht:
- zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten oder
- wenn die Daten allgemein zugänglich sind oder veröffentlicht werden dürften.
Hinweis: Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (= Kanzleiinhaber).
Grundsätzliches Zweckbindungsgebot
Es muss stets zwischen den entgegenstehenden schutzwürdigen Interessen des Betroffenen und dem Interesse an der Zweckänderung abgewogen werden. Es besteht eine grundsätzliche Zweckbindung, von der nicht ohne weiteres abgewichen werden darf. Änderungen des Verarbeitungszwecks sind grundsätzlich nur erlaubt, wenn sie mit dem ursprünglichen Erhebungszweck vereinbar sind. Die DSGVO sieht Kriterien vor, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind. Hierzu gehört u. a.:
- die Verbindung zwischen den Zwecken,
- der Gesamtkontext, in dem die Daten erhoben wurden,
- die Art der personenbezogenen Daten,
- mögliche Konsequenzen der zweckändernden Verarbeitung für den Betroffenen oder
- das Vorhandensein von angemessenen Sicherheitsmaßnahmen (z.B. eine Verschlüsselung).
Eine Zweckänderung liegt vor, wenn die Daten verwendet werden für:
- die Rechnungsprüfung,
- die Wahrnehmung von Aufsichts- und Kontrollbefugnissen,
- Organisationsuntersuchungen sowie
- Ausbildungs- und Prüfungszwecke der speichernden Stelle.
Eine strikte Zweckbindung besteht für Daten, die ausschließlich zur Datenschutzkontrolle, Datensicherung, zur Sicherung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage oder zur wissenschaftlichen Forschung gespeichert werden
Datensparsamkeit: Prinzip muss beachtet werden
Auch nach der Datenschutzgrundverordnung gilt das Prinzip der Datensparsamkeit, wonach die Erhebung und Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein muss.
Bei Unternehmen wird der größte Teil der personenbezogenen Daten (u.a. Kundendaten) zur Erfüllung eigener Geschäftszwecke verwendet. Die Daten sind grundsätzlich beim Betroffenen zu erheben. Es ist ihm mitzuteilen, zu welchem Zweck dies geschieht. Ohne Mitwirkung des Betroffenen dürfen Daten nur erhoben werden, wenn
- eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
- die Erhebung beim Betroffenen einen unverhältnismäßig hohen Aufwand zur Folge hätte und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
Ob die befragte Stelle die erbetenen Daten übermitteln darf, muss besonders geprüft werden. Wenn die personenbezogenen Daten beim Betroffenen erhoben werden, muss er informiert werden. Er hat Anspruch darauf zu erfahren,
- welche die verantwortliche Stelle ist, die die Daten erhoben hat und
- welche Zweckbestimmung der Datenerhebung zugrunde liegt.
Nur so ist gewährleistet, dass der Betroffene seine Datenschutzrechte wahrnehmen kann.
Hinweis: Die Aufsichtsbehörde kann von dem Kanzleiinhaber verlangen, dass er nachweisen kann, welche personenbezogenen Daten von Mitarbeitern, Kunden, Lieferanten oder Vereinsmitgliedern er verarbeitet, auf welcher Rechtsgrundlage er dies konkret macht, für welchen Zweck er die Daten verwendet und wie lange er sie noch speichern möchte.