Die Bedeutung der Datenschu... / 2 Die Grundsätze der Datenverarbeitung

Die Datenschutz-Grundverordnung bringt zwar einige Neuerungen mit sich, behält aber die bisherigen bekannten Datenschutzgrundsätze im Wesentlichen bei. Neu hinzu kam die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht. Die Unternehmen sind daher nicht nur zur Einhaltung der nachfolgenden Grundsätze verpflichtet, sondern müssen die Einhaltung der Grundsätze auch nachweisen. Die Rechenschaftspflicht steht insofern im Zusammenhang mit den Compliance-Anforderungen und erfordert eine umfangreichere Datenschutzdokumentation als bisher.

2.1 Die Grundsätze im Einzelnen

Die Grundsätze der DSGVO sind im Einzelnen:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten dürfen auch nur dann verarbeitet werden, wenn die Verarbeitung durch eine Rechtsgrundlage gedeckt ist (Verbot mit Erlaubnisvorbehalt). Der Grundsatz von Treu und Glauben lässt sich als Rücksichtnahmepflicht und damit als Ausprägung des bisher bekannten Grundsatzes der Verhältnismäßigkeit verstehen.[1] Zentrale Norm zur Bestimmung, ob eine Verarbeitung personenbezogener Daten rechtmäßig ist, ist Art. 5 DSGVO. Die dort genannten Rechtsgrundlagen decken sich im Wesentlichen mit den bekannten Grundsätzen aus dem bisherigen BDSG.

Zweckbindung

Ebenfalls beibehalten wurde der Grundsatz der Zweckbindung. Personenbezogene Daten dürfen auch weiterhin nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.

Datenminimierung

Auch der bisher bekannte Grundsatz der Datenminimierung findet sich in der DSGVO wieder. Personenbezogene Daten dürfen damit weiterhin nur dann verarbeitet werden, soweit dies zur Erreichung des Zweckes angemessen und erheblich ist.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig sein und gegebenenfalls auf den aktuellen Stand gebracht werden.

Speicherbegrenzung

Personenbezogene Daten dürfen nur solange gespeichert werden, wie dies für die Erreichung des Zweckes unbedingt notwendig ist. Nach Zweckfortfall müssen die Daten entweder vollständig gelöscht werden oder es muss zumindest sichergestellt sein, dass die Identifizierung einer Person nicht mehr möglich ist.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung ein.

[1] BeckOK DatenSR/Schantz, 21. Aufl. 2017, Art. 5, Rz. 7-9 DSGVO.

2.2 Einwilligung in die Datenverarbeitung

Eine wichtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten stellt die Einwilligung dar. In Art. 7 DSGVO sind die Anforderungen an eine wirksame datenschutzrechtliche Einwilligung festgehalten. Eine Einwilligung kann nur dann wirksam erteilt werden, wenn der Betroffene in voller Kenntnis des Umfangs der geplanten Verarbeitung und freiwillig sein Einverständnis zur Verarbeitung erteilt. Bereits bei Erteilung der Einwilligung muss der Betroffene auf sein Widerrufsrecht hingewiesen werden.

Die Schriftform ist für die Erteilung der Einwilligung nicht mehr explizit vorgesehen. Einwilligungen können daher nunmehr auch in mündlicher oder elektronischer Form wirksam erteilt werden. Allerdings müssen die Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung eingewilligt hat. Im Arbeitsverhältnis gelten jedoch strengere Anforderungen. Aufgrund der Vorschrift des § 26 Abs. 2 BDSG muss der Arbeitgeber die Einwilligung seiner Arbeitnehmer entweder in Schriftform (eigenhändige Unterzeichnung durch den Arbeitnehmer) oder elektronisch einholen. Eine mündliche Einwilligung des Arbeitnehmers gegenüber dem Arbeitgeber ist damit nicht möglich.[1]

Werden Einwilligungen durch eine schriftliche Erklärung eingeholt, die noch weitere Sachverhalte betrifft (Beispiel: Einwilligung im Arbeitsvertrag), so muss die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen.

Die DSGVO enthält auch spezielle Vorgaben zu Einwilligungserklärungen Minderjähriger (vgl. Art. 8 DSGVO). Einwilligungserklärungen von Minderjährigen, die das 16. Lebensjahr vollendet haben, sollen grundsätzlich wirksam sein. Wenn ein Minderjähriger das 16. Lebensjahr noch nicht vollendet hat, so bedarf es der Einwilligung des Erziehungsberechtigten.

 
Praxis-Tipp

Einwilligungen prüfen

Unternehmen sollten die bisher nach dem BDSG verwendeten Einwilligungserklärungen auf Konformität mit der DSGVO prüfen und die Erklärungen gegebenenfalls anpassen. Sofern bereits jetzt eingeholte Einwilligungserklärungen den Normen der DSGVO entsprechen, gelten diese auch nach dem 25.5.2018 fort. Eine erneute Einholung ist dann nicht mehr erforderlich.

Einwilligungen im Arbeitsverhältnis

Da zwischen Arbeitgeber und Arbeitnehmer ein gewisses Ungleichgewicht besteht, sind bei Einwilligungen im Arbeitsverhältnis strenge Maßstäbe hinsichtlich der Freiwilligkeit einer Einwilligung anzulegen. Eine Hilfestellung zur Beurteilung der Freiwilligkeit liefert der Gesetzgeber in § 2...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge