Artikel 5 Absatz 1 Buchstabe a) DSGVO

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

Dieser erste Buchstabe enthält gleich drei Grundsätze.

Rechtmäßigkeit

Personenbezogene Daten dürfen nur verarbeitet werden, wenn diese Verarbeitung rechtmäßig erfolgt, sie also auf eine vorhandene und einschlägige Rechtsgrundlage gestützt werden kann. Hier wird vom »Verbot mit Erlaubnisvorbehalt« gesprochen, es ist also jede Verarbeitung personenbezogener Daten verboten, es sei denn, es gibt eine Rechtsgrundlage.

Die zentralen Rechtsgrundlagen (auch Erlaubnistatbestände genannt) sind in Artikel 6 DSGVO geregelt. Für besondere Datenkategorien, wie z.B. Gesundheitsdaten, finden sie sich in Artikel 9 DSGVO und strafrechtlich relevante Daten dürfen auf Grundlage des Artikels 10 DSGVO verarbeitet werden.

Die Rechtsgrundlagen aus Artikel 6 Absatz 1 Satz 1 DSGVO sind z.B. die (freiwillige, informierte) Einwilligung, ein Vertrag, der zwischen den Parteien abgeschlossen ist/wird, eine rechtliche Verpflichtung des Verarbeiters, lebenswichtige Interessen der betroffenen Person, öffentliche Interessen oder ein berechtigtes Interesse an der Verarbeitung.

Ein Wort an dieser Stelle zur Einwilligung: Jeder kennt sie als Rechtsgrundlage. Sie ist in Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO geregelt. Über die Einwilligung gibt es viele Mythen, vor allem wird oft geglaubt, dass für jede Verarbeitung personenbezogener Daten eine Einwilligung erforderlich ist und dass man mit der Einwilligung nahezu jede Verarbeitung rechtfertigen kann. Beide Behauptungen sind großer Blödsinn. Die Einwilligung ist vor allen Dingen keine Rechtsgrundlage »sicherheitshalber«.

Machen Sie sich frei von dem Gedanken, dass Sie in Ihrem Unternehmen für jede Datenverarbeitung eine Einwilligung benötigen. Es gibt viel flexiblere Rechtsgrundlagen.

Verarbeitung nach Treu und Glauben

Au Backe, das klingt nach verstaubter Rechtsgeschichte und damit liegen Sie nicht ganz falsch. Der Grundsatz von Treu und Glauben ist seit weit über hundert Jahren im deutschen Recht verankert. Es wurden und werden Doktorarbeiten über diesen Grundsatz gehalten, doch für das Thema Datenschutz können wir den Ball sozusagen »flach halten«. Wir blicken uns einfach die englische Fassung des Grundsatzes an und dort ist von »Fairness« die Rede. Dieser Begriff ist leichter zu packen. Eine »faire« Verarbeitung ist gegeben, wenn sie mit Wissen der betroffenen Person, somit offen und nicht heimlich, erfolgt und der »vernünftigen Erwartungshaltung« der betroffenen Person entspricht.

Weshalb haben wir gerade überhaupt auf die englische Fassung der DSGVO geschaut und schauen dürfen? Wir sind doch in Deutschland? Nun, die DSGVO liegt in allen Sprachen der EU-Mitgliedstaaten vor und alle Sprachfassungen sind gleich verbindlich. Zwangsläufig gibt es in den Übersetzungen aber Unterschiede, wie wir gerade am Beispiel des Grundsatzes von Treu und Glauben gesehen haben. Die DSGVO wurde überwiegend in der englischen Sprachfassung im Gesetzgebungsverfahren verhandelt und man hat sich auf den Text der DSGVO in der englischen Fassung verständigt. Anhand der englischen Fassung ist daher einfacher, bei Unklarheiten den Sinn und Zweck einer Regelung zu erschließen.

Doch zurück zum Thema. Was bedeutet es jetzt in der Praxis, wenn wir auf die »vernünftige Erwartungshaltung« Rücksicht nehmen müssen?

Fragen Sie sich bei jeder Verarbeitung, ob diese Nutzung z.B. im Rahmen der Datenschutzerklärung ausreichend kommuniziert wurde und ob die betroffene Person damit rechnen darf, dass ihre Daten auf diese Art und Weise vom Verantwortlichen verarbeitet werden. Was ist die Rechtsgrundlage der Verarbeitung? Wurden die Risiken für den Betroffenen ausreichend bedacht?

Eine Verarbeitung nach Treu und Glauben erfordert also, dass die »vernünftigen Erwartungen« der betroffenen Person zu bedenken sind; das steht auch so in den Erwägungsgründen (EG) 47 und 50. Treuwidrige und unfaire Verhaltensweisen bei der Datenverarbeitung widersprechen zugleich regelmäßig dem Grundsatz der Transparenz und dem Zweckbindungsgrundsatz; doch dazu gleich.

Als praktischer Anwendungsfall kann die verdeckte, unverhältnismäßige Videoüberwachung, die gegen den Grundsatz von Treu und Glauben verstoßen würde, genannt werden, weil diese eben nicht der »vernünftigen Erwartungshaltung« der betroffenen Person entsprechen würde. Niemand muss »automatisch« damit rechnen, auf dem Vereinsgelände videoüberwacht zu werden. Anders selbstverständlich, wenn auf die Videoüberwachung deutlich hingewiesen wird und es berechtigte Gründe für die Überwachung gibt, beispielsweise der Schutz von Wertgegenständen und teurem Vereinseigentum vor Diebstahl oder Vandalismus.

Transparenz

Der Grundsatz der Transparenz überschneidet sich mit dem Grundsatz der Verarbeitung nach Treu und Glauben. Es hat aber einen Grund, weshalb hier in gewisser Weise doppelt gemoppelt wird. Der DSGVO ist die transparente Verarbeitung personenbezogener Daten ganz einfach besonders wichtig. Nur derjenige, der genau weiß, wer, was mit welchen Daten macht, kann souverän über die Verarbeitung z.B. im Rahmen einer Einwilligung bestimmen. Die natürlichen Personen, deren Daten verarbeitet werden, sollen Kenntnis darüber haben, welche konkreten Datenkategorien von welchem Verarbeiter für welchen Zweck verarbeitet werden. Es ist also ganz besonders bedeutsam, dass die betroffene Person die Verarbeitung ihrer personenbezogenen Daten nachvollziehen kann. Die DSGVO stellt das mit verschiedenen Instrumenten sicher, zum einen durch umfangreiche Informationspflichten (Stichwort: Datenschutzerklärung), durch Dokumentations- und Nachweispflichten und nicht zuletzt durch die Betroffenenrechte, insbesondere das Recht auf Auskunft.

Konkret ergeben sich die inhaltlichen Anforderungen an die nachvollziehbare Ausgestaltung der Art und Weise der Verarbeitung aus den Informationspflichten gemäß Artikel 13 und 14 DSGVO. So ist z.B. bei der Einwilligung darauf hinzuweisen, dass die betroffene Person das Recht hat, die Einwilligung zu widerrufen, und es ist über die Rechte der betroffenen Person - wie z.B. das Recht auf Auskunft, Löschung, Datenportabilität - zu informieren. Die korrekte und vollständige »Datenschutzerklärung« z.B. auf der Webpräsenz ist daher nicht zu unterschätzen.

Aus der Praxis weiß ich, dass Datenschutzerklärungen gerne aus verschiedenen Quellen »zusammengestöpselt« werden. Das mag ein naheliegender Weg sein, doch letztlich kann er verhängnisvoll sein. Vergessen Sie nicht, dass die Einhaltung der Grundsätze zu den Kardinalpflichten der DSGVO gehört und gemäß Artikel 83 Absatz 5 Buchstabe a) DSGVO mit den höchsten Bußgeldern sanktioniert werden kann. Hier darf man nicht nachlässig sein.