Erläuterung Artikel 5

Erläuterungen zur Datenschutzgrundverordnung

Artikel 5 DSGVO

Nach Art. 5 Abs. 1

Art. 5 Abs. 1 a

Nach Art. 5 Abs. 1 a müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Es gilt der Grundsatz der “Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz”.

Die gesetzliche Formulierung des Grundsatzes der Verarbeitung auf rechtmäßige Weise ist eng und weit zu verstehen. Ein enges Verständnis stellt auf die Zulässigkeit der Datenverarbeitung als solche ab. Unter die Anforderung der Rechtmäßigkeit lässt sich dem Grunde nach alles fassen, was rechtlich legitimiert ist, und sei es auch aus Gründen der öffentlichen Ordnung oder auf der Grundlage der – wie auch immer motivierten – Einwilligung des Betroffenen. In jedem Fall muss die Rechtmäßigkeit der Datenerhebung geprüft werden und auf einer nachvollziehbaren Grundlage erfolgen.

Art. 5 Abs. 1 b

Art. 5 Abs. 1 b regelt, dass personenbezogene Daten, die für festgelegte, eindeutige und legitime Zwecke erhoben werden, nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Art. 89 Abs. 1 nicht als unvereinbar mit den ursprünglichen Zwecken “Zweckbindung”.

Damit wird klargestellt, dass Daten nur erhoben werden bzw. verarbeitet werden dürfen, wenn die Zweckbindung deutlich wird. Die Zweckbindung muss der Verantwortliche darlegen und beweisen können. Er muss sich auch an den Zweck halten.

Art. 5 Abs. 1 c

Aus Art. 5 Abs. 1 c folgt im Übrigen das der Grundsatz der Datenminimierung eingehalten werden muss. Das bedeutet, dass nur die Daten erhoben werden dürfen, die für den Zweck angemessen und erheblich sind. Andernfalls liegt ein klarer Verstoß vor.

Art. 5 d

Die Daten müssen auch richtig sein, was sich aus Art. 5 d ergibt. Sie müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind deshalb alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Diese Regelung erfordert ein großes Maß an Sorgfalt und gegebenenfalls auch ein großes Maß an Überprüfung. Die Richtigkeit ist ein Grundsatz für die Verarbeitung personenbezogener Daten.

Art. 5 Abs. 1 i

Daten dürfen auch nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind. Man spricht hier von dem Grundsatz der sog. Speicherbegrenzung. Dies ergibt sich sind Art. 5 Abs. 1 i.

Art. 5 f

Aus Art. 5 f ergibt sich ein sehr bedeutsamer Grundsatz, der auch die Verantwortlichen in höchstem Maße fordert. Denn Daten dürfen nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter, unrechtmäßiger Verarbeitung und vor unbeabsichtigten Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen dem so genannten Grundsatz der Integrität und Vertraulichkeit.

Der Verantwortliche ist in jedem Fall dafür verantwortlich, dass der Grundsatz der technischen und organisatorischen Maßnahmen, also der Integrität und Vertraulichkeit gewährleistet ist.

Art. 5 Abs. 2

Danach ist der Verantwortliche für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können. Die so genannte Rechenschaftspflicht.

Aus der so genannten Rechenschaftspflicht wird abgeleitet, dass der Verantwortliche nachweisen kann, dass er die zuvor genannten Grundsätze einhält und überwacht. Dazu gehören neben Art. 24 das Verzeichnis von Verarbeitungstätigkeit nach Art. 30, die Meldung und die Benachrichtigung nach Art. 33 f. einschließlich der Dokumentation für Art. 33 Abs. 5 (für den Auftragsverarbeiter vergleiche Art. 28), aber auch der Nachweis für die Einwilligung Art. 7 unter Nachweis für fehlendes Verschulden Art. 28 Abs. 3. Die Vorschrift entfaltet damit eine eigenständige Wirkung, die den Nachweis der Einhaltung der Vorschrift voraussetzt, dass die Verarbeitung dokumentiert wird. Für diese Dokumentation ist ein Konzept erforderlich, welches die Verarbeitungssituation berücksichtigt. In der Regel geschieht dies durch ein ganzheitliches Datenschutzmanagementsystem.

Damit stellt Art. 5 Abs. 2 DSGVO klar, dass der Verantwortliche die Verantwortung dafür trägt, dass ein solches Datenmanagement / Managementsystem eingerichtet wird. Fehlt ein Solches, hat dies erhebliche Folgen. Zu den Folgen – in den nachfolgenden Artikeln.

Informieren Sie Ihren Datenschutzbeauftragten: