Grundsätze der Datenverarbeitung

Für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gilt wie bisher das Prinzip des Verbots mit Erlaubnisvorbehalt. Demnach ist die Verarbeitung personenbezogener Daten verboten, sofern nicht eine Rechtsvorschrift diese Verarbeitung erlaubt oder die betroffene Person eingewilligt  hat. Die Einwilligung wird allerdings für die Verarbeitung personenbezogener Daten durch öffentliche Stellen, dabei insbesondere bei der Wahrnehmung öffentlicher Aufgaben, überwiegend keine geeignete Rechtsgrundlage darstellen (vgl. Erwägungsgründe 43 und 45 Datenschutz-Grundverordnung).

Insbesondere die gesetzlichen Erlaubnisgründe des Artikels 6 Absatz 1 Buchstabe c und e Datenschutz-Grundverordnung betreffen die Datenverarbeitung durch öffentliche Stellen. Sie gelten, wenn öffentliche Stellen personenbezogene Daten verarbeiten, um eine rechtliche Verpflichtung oder eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt. Voraussetzung ist aber bei beiden Erlaubnisgründen, dass eine Rechtsvorschrift den Verantwortlichen zu einer solchen Verarbeitung verpflichtet bzw. ermächtigt.

Wie bisher wird der ganz überwiegende Teil der Verarbeitung personenbezogener Daten durch öffentliche Stellen auf spezialgesetzliche Rechtsgrundlagen gestützt werden können, die den Anforderungen von Artikel 6 Absatz 2 und 3 Datenschutz-Grundverordnung entsprechen. Darüber hinaus bestimmt § 3 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz, dass die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig ist, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. Die Regelung ist ebenfalls eine Rechtsgrundlage für die Datenverarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe e i. V. m. Artikel 6 Absatz 3 Satz 1 der Datenschutz-Grundverordnung und fungiert als eine Art Auffangtatbestand.

Wie bisher in § 4 Absatz 2 Sächsisches Datenschutzgesetz werden auch in Artikel 9 der Datenschutz-Grundverordnung besondere Kategorien personenbezogener Daten unter besonderen Schutz gestellt. Über die bislang im Sächsischen Datenschutzgesetz genannten Kategorien hinaus – Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben - sind nun auch genetische Angaben sowie biometrische Daten ausdrücklich genannt. Artikel 9 Absatz 1 Datenschutz-Grundverordnung bestimmt ein grundsätzliches Verbot der Verarbeitung von Daten dieser Kategorien. Allerdings werden in Artikel 9 Absatz 2 Buchstabe a bis j Datenschutz-Grundverordnung zugleich umfangreiche Ausnahmen von diesem Grundsatz geregelt, sodass zwar einige Veränderungen im Vergleich zur bisherigen Rechtslage zu beachten sind, die praktische Anwendung der Normen aber nur wenige Anpassungen nach sich ziehen dürfte.

Nach Artikel 5 Absatz 1 Buchstabe a Datenschutz-Grundverordnung müssen personenbezogene Daten transparent und nach Treu und Glauben verarbeitet werden. Das Transparenzgebot stellt keinen neuen Grundsatz zum bisherigen Recht dar – auch bisher musste die betroffene Person wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gab es schon bisher umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht). Nun findet der Transparenzgrundsatz seinen Niederschlag vor allem in den Artikeln 12 bis 15 Datenschutz-Grundverordnung, wo er etwa durch Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person konkretisiert wird.

Neu ist jedoch die Aufnahme des aus dem Zivilrecht bekannten Grundsatzes von Treu und Glauben (vgl. § 242 BGB), der nunmehr ausdrücklich ins Datenschutzrecht überführt wird. Unter diesen Grundsatz wird eine Vielzahl von Fallgruppen gefasst (z. B. Rechtsmissbrauch, widersprüchliches Verhalten). Das praktische Potential entfaltet sich vor allem an Stellen, an denen die Datenschutz-Grundverordnung nur sehr allgemeine oder gar keine Festlegungen trifft.  

Der Grundsatz der Zweckbindung nach Artikel 5 Absatz 1 Buchstabe b Datenschutz-Grundverordnung ist im Wesentlichen bereits bekannt. Danach müssen “personenbezogene Daten … für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung)”.

Die Zwecke der Datenverarbeitung müssen dabei bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein. Zudem sind grundsätzlich nur solche Änderungen des Verarbeitungszwecks erlaubt, die mit dem ursprünglichen Erhebungszweck vereinbar sind (Artikel 5 Absatz 1 Buchstabe b sowie Artikel 6 Absatz 4 Datenschutz-Grundverordnung). Dabei stellt die Datenschutz-Grundverordnung in Artikel 6 Absatz 4 Kriterien auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind. Hierzu zählen u. a. die Verbindung zwischen den Zwecken, der Gesamtkontext, in dem die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Konsequenzen der zweckändernden Verarbeitung für den Betroffenen oder das Vorhandensein von angemessenen Sicherheitsmaßnahmen wie eine Pseudonymisierung oder Verschlüsselung. Dies führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung pseudonymisierter bzw. verschlüsselter Daten, was vor allem für datenschutzgerechte Big-Data-Anwendungen von Bedeutung ist.

§ 3 Absatz 2 Sächsisches Datenschutzdurchführungsgesetz bestimmt angelehnt an den bisherigen § 13 Absatz 3 des Sächsischen Datenschutzgesetzes, dass eine Verarbeitung zu den Zwecken der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen, zur Prüfung und Wartung von automatisierten Verfahren, zu statistischen Zwecken sowie zu Aus-, Fort-, Weiterbildungs- und Prüfungszwecken, keine zweckändernde Datenverarbeitung ist, sondern diese Zwecke jeder Datenverarbeitung immanent sind. Eine diesbezügliche Verarbeitung ist damit zulässig, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.

Darüber hinaus kann die Zweckbindung auch durch Rechtsvorschriften durchbrochen werden. Die bisher im nach § 13 Absatz 2 in Verbindung mit § 12 Absatz 4 Sächsisches Datenschutzgesetz zugelassenen Zweckänderungen sind nun in § 4 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz normiert.

Das bereits im Sächsischen Datenschutzgesetz verankerte Prinzip der Datensparsamkeit findet sich nunmehr als eines der zentralen Prinzipien des Datenschutzes in Artikel 5 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung wieder. Danach muss die Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein. Mit der normierten Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur solange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck also nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht (Artikel 17 Absatz 1 Buchstabe a Datenschutz-Grundverordnung) oder die Identifizierung der betroffenen Person aufgehoben werden. Ausnahmen ergeben sich für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke (Artikel 5 Absatz 1 Buchstabe e Datenschutz-Grundverordnung). Auch der Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sollen Datensparsamkeit gewährleisten (vgl. Artikel 25 Datenschutz-Grundverordnung, Erwägungsgrund 78).

Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden (vgl. Artikel 5 Absatz 1 Buchstabe d Datenschutz-Grundverordnung). Die Datenschutz-Grundverordnung verknüpft sehr stark den Datenschutz mit der Technik. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht (vgl. etwa Artikel 17 Absatz 1 Buchstabe d Datenschutz-Grundverordnung) oder berichtigt (Artikel 16 Datenschutz-Grundverordnung) werden.

Schließlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet (vgl. Artikel 5 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen, die insbesondere in Artikel 32 Datenschutz-Grundverordnung konkretisiert werden. Die Maßnahmen müssen im Verhältnis zum Risiko angemessen sein.

Geboten sein kann danach unter anderem eine Pseudonymisierung oder Verschlüsselung, sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten.

Nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung trägt der Verantwortliche dafür Sorge, dass die datenschutzrechtlichen Grundsätze eingehalten werden. Dies entspricht der bisherigen Rechtslage.

Bei den Rechenschaftspflichten geht es darum, dass die öffentliche Stelle nachweisen können muss, dass es die Grundsätze der Datenverarbeitung personenbezogener Daten nach Artikel 5 Absatz 1 Datenschutz-Grundverordnung einhält. Dies betrifft die Anforderungen der Rechtmäßigkeit und der Transparenz der Datenverarbeitung sowie der Verarbeitung der Daten nach Treu und Glauben, die Beachtung des Zweckbindungsgrundsatzes, des Grundsatzes der Datenminimierung, der Richtigkeit der Daten, der Speicherbegrenzung und der Integrität und Vertraulichkeit der Datenverarbeitung. Konkret bedeutet dies, dass alle datenschutzrechtlich relevanten Vorgänge nachvollziehbar bzw. belegbar sein müssen, also zu dokumentieren sind. Es dürfte nicht mehr ausreichend sein, sich auf die kritischen Prozesse zu beschränken und ausschließlich für diese eine Konzeption zu entwickeln.