Grundsätze der DSGVO

Die Grundsätze für die Verarbeitung von personenbezogenen Daten sind in Art. 5 Abs. 1 DSGVO geregelt. Diese Grundsätze und die Vorschriften der DSGVO zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten, so EG 2, gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Des Weiteren verlangt die DSGVO in Kap. III geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Rechte der betroffenen Personen und zur Umsetzung der Datenschutzgrundsätze sowie zur Gewährleistung der Sicherheit der Verarbeitung von personenbezogenen Daten. Schließlich verlangen Art. 24 Abs.1 Satz 2 und 32 Abs.1 Satz 1 lit. d DSGVO ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Nach Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“), müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“) und müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung („Integrität und Vertraulichkeit“). Der Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss gem. Art. 5 Abs. 2 DSGVO deren Einhaltung nachweisen können („Rechenschaftspflicht“).

Inhaltlich bauen diese Grundsätze auf die in der RL 95/46/EG enthaltenen Regelungen auf. Bei diesen Grundsätzen handelt es sich nicht nur um Programmsätze, sondern für die Verantwortlichen und Auftragsverarbeiter um verbindliche Vorgaben. Die Nichtbefolgung ist gem. Art. 83 Abs. 5 DSGVO mit Bußgeld bis zu 20 Mio. Euro bzw. 4 % des gesamten Jahresumsatzes bedroht.

Der folgende Prozess zeigt einen Überblick über die Grundsätze des Art. 5 Abs. 1 DSGVO für die Verarbeitung von personenbezogenen Daten.

Erläuterungen zum Prozess

1. Verarbeitung auf rechtmäßige Weise, transparent und nach Treu und Glauben?
Die Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)

2. Verarbeitung für festgelegte, eindeutige, legitimierte Zwecke?
Die Erhebung ist nur für festgelegte, eindeutige und legitime Zwecke zulässig. Die Zwecke müssen zum Zeitpunkt der Erhebung eindeutig klar und verständlich festgelegt sein und müssen durch die Rechtsordnung legitimiert, d. h. zulässig sein („Zweckbindung“)

3. Zweckänderung?
Die Daten dürfen gem. Art. 6 Abs. 4 DSGVO auch für einen anderen Zweck als zu dem Erhebungszweck verarbeitet werden, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist

4. Archiv, wissenschaftliche, historische oder Forschungszwecke?
Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gem. Artikel 89 Absatz 1 nicht von vorneherein als unvereinbar mit den ursprünglichen Zwecken

5. Mit dem ursprünglichen Zweck vereinbar?
Ist der neue Zweck mit dem ursprünglichen Zweck vereinbar, dürfen die Daten für den neuen Zweck verarbeitet und nicht nur, wie § 28 Abs. 2 BDSG a. F. bestimmt hatte, nur genutzt werden

6. Daten dem Zweck angemessen und erheblich, auf das Notwendige beschränkt?
Die Daten müssen nach Art und Umfang dem Zweck angemessen und erheblich, d. h. erforderlich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)

7. Sachlich richtig, auf dem neuesten Stand?
Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“)

8. Daten unverzüglich berichtigen oder löschen
Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden

9. Personenbezug nur so lange wie für die Zweckerreichung nötig?
Personenbezogene Daten dürfen in einer die Identifizierung der betroffenen Personen ermöglichenden Form nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, und müssen zum frühestmöglichen Zeitpunkt pseudonymisiert, anonymisiert oder gelöscht werden, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind.

10. Angemessene Sicherheit gewährleistet?
Die Daten dürfen nur in einer Weise verarbeitet werden, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung („Integrität und Vertraulichkeit“)

11. Verarbeitung zulässig
Die Verarbeitung ist nur zulässig, wenn die genannten Voraussetzungen kumulativ erfüllt sind

12. Beschränkungen gem. Art. 23 DSGVO beachten
Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5 DSGVO im Wege von Gesetzgebungsmaßnahmen beschränkt werden, wenn dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen.

13. Speicherung im öffentlichen Interesse für Archiv-, wissenschaftliche oder historische Zwecke?
Personenbezogene Daten dürfen länger gespeichert werden, wenn sie ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gem. Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“)

14. Geeignete technische und organisatorische Maßnahmen eingerichtet?
Eine Speicherung für Archivzwecke oder wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke ist vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen i. S v. Art. 89 Abs. 1 DSGVO zulässig

15. Verarbeitung unzulässig
Die Verarbeitung ist unzulässig. Verstöße unterliegen der Bußgeldvorschrift des Art. 83 Abs. 5 DSGVO und können mit Bußgeld bis zu 20 Mio. Euro bzw. 4 % des gesamten Jahresumsatzes belegt werden.

Kommentierung

Überblick

Im ersten zwischenstaatlichen Datenschutzabkommen der EU (Übereinkommen Nr. 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten – Datenschutzkonvention) vom Januar 1981 wurden in Art. 5 „Qualität der Daten“ ähnliche Grundsätze wie in Art. 5 Abs. 1 DSGVO festgelegt, und zwar:

Personenbezogene Daten, die automatisch verarbeitet werden, müssen

a) nach Treu und Glauben und auf rechtmäßige Weise beschafft sein und verarbeitet werden,

b) für festgelegte und rechtmäßige Zwecke gespeichert sein und dürfen nicht so verwendet werden, dass es mit diesen Zwecken unvereinbar ist,

c) den Zwecken, für die sie gespeichert sind, entsprechen, dafür erheblich sein und dürfen nicht darüber hinausgehen,

d) sachlich richtig und wenn nötig auf den neuesten Stand gebracht sein,

e) so aufbewahrt werden, dass der Betroffene nicht länger identifiziert werden kann, als es die Zwecke, für die sie gespeichert sind, erfordern.

Artikel 6 der Datenschutzkonvention trifft folgende Regelungen zu besonderen Arten von Daten:

Personenbezogene Daten, welche die rassische Herkunft, politische Anschauungen oder religiöse oder andere Überzeugungen erkennen lassen, sowie personenbezogene Daten, welche die Gesundheit oder das Sexualleben betreffen, dürfen nur automatisch verarbeitet werden, wenn das innerstaatliche Recht einen geeigneten Schutz gewährleistet. Dasselbe gilt für personenbezogene Daten über Strafurteile.

Ein Zusatzprotokoll zur Datenschutzkonvention vom November 1981 enthält zur Einrichtung von Aufsichtsbehörden für den Datenschutz und zum grenzüberschreitenden Datenverkehr folgende Regelungen:

Artikel 1 – Kontrollstellen

1 Jede Vertragspartei sieht eine oder mehrere Stellen vor, die dafür zuständig sind, die Einhaltung der Maßnahmen zu gewährleisten, durch die in ihrem internen Recht die in den Kapiteln II und III des Übereinkommens und in diesem Protokoll aufgestellten Grundsätze verwirklicht werden.

2a Zu diesem Zweck haben die genannten Stellen insbesondere Untersuchungs- und Einwirkungsbefugnisse sowie das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen Vorschriften des internen Rechts, welche die in Absatz 1 genannten Grundsätze verwirklichen.

2b Jede Kontrollstelle kann von einer Person mit einer Eingabe in Bezug auf den Schutz ihrer Rechte und Grundfreiheiten bei den Verarbeitungen personenbezogener Daten, die in ihren Zuständigkeitsbereich fallen, befasst werden.

3 Die Kontrollstellen nehmen ihre Aufgaben in völliger Unabhängigkeit wahr.

4 Gegen beschwerende Entscheidungen der Kontrollstellen steht der Rechtsweg offen.

5 Unbeschadet des Artikels 13 des Übereinkommens sorgen die Kontrollstellen in Übereinstimmung mit Kapitel IV des Übereinkommens für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.

Artikel 2 – Grenzüberschreitender Verkehr personenbezogener Daten mit einem Empfänger, der nicht der Hoheitsgewalt einer Vertragspartei des Übereinkommens untersteht

1 Jede Vertragspartei sieht vor, dass personenbezogene Daten an einen Empfänger, der der Hoheitsgewalt eines Staates oder einer Organisation untersteht, der beziehungsweise die nicht Vertragspartei des Übereinkommens ist, nur dann weitergegeben werden dürfen, wenn dieser Staat oder diese Organisation ein angemessenes Schutzniveau für die beabsichtigte Datenweitergabe gewährleistet.

2 Abweichend von Absatz 1 kann jede Vertragspartei die Weitergabe personenbezogener Daten erlauben,

a wenn dies im internen Recht vorgesehen ist

– wegen spezifischer Interessen des Betroffenen, oder

– wegen berechtigter überwiegender Interessen, insbesondere wichtiger öffentlicher Interessen, oder

b wenn Garantien, die sich insbesondere aus Vertragsklauseln ergeben können, von der für die Weitergabe verantwortlichen Stelle geboten werden und diese von den zuständigen Behörden in Übereinstimmung mit dem internen Recht für ausreichend befunden werden.

Mit der Richtlinie 95/46 EG von 1995 wurden diese Grundsätze fortgeführt, aktualisiert und in Art. 6 ausgestaltet. Die DSGVO greift diese Grundsätze auf, führt sie in Art. 5 Abs. 1 DSGVO fort und formuliert für die Verarbeitung von personenbezogenen Daten folgende Grundsätze:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

a) Personenbezogene Daten müssen gem. Art. 5 Abs. 1 lit. a DSGVO „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.“

Der Grundsatz der Rechtmäßigkeit schreibt vor, dass personenbezogene Daten nur unter dem Vorbehalt einer gesetzlichen Erlaubnis oder einer Einwilligung erhoben und verarbeitet werden dürfen. Dieser Grundsatz ist in Art. 8 Abs. 2 GRCh vorgegeben und entspricht auch dem Grundsatz des Verbots mit Erlaubnisvorbehalt nach den Vorschriften des BDSG a. F.

Der Vorbehalt der Verarbeitung nach Treu und Glauben findet sich bereits in Art. 5 der Datenschutzkonvention und hat über Art. 8 Abs. 2 Satz 1 GRCh und Art. 6 Abs. 1a RL 95/46 EG Eingang in die DSGVO gefunden. Zur Auslegung des Begriffes „Treu und Glauben“ geben die Erwägungsgründe keine Hinweise. EG 39 sagt nur, dass jede Verarbeitung personenbezogener Daten rechtmäßig nach Treu und Glauben erfolgen soll. Erwägungsgrund 38 zur RL 95/56 EG sagt dazu: „Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihm erhoben werden.“ In ähnlicher Weise hat das Bundesverfassungsgericht im sog. Volkszählungsurteil vom 15.12.1983, Az. 1 BvR 209/83, 1 BvR 484/83, 1 BvR 440/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83 ausgeführt:

„(…) Wenn ein Bürger nicht mehr weiß, wer über ihn welche Daten besitzt und für welche Zwecke die Daten verarbeitet werden, ist er in der Entfaltung seiner Persönlichkeit eingeschränkt. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 i.V. mit Art. 1 Abs. 1 Grundgesetz erfasst. … Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen sicher abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen und zu entscheiden. (…)“

Damit hatte das Bundesverfassungsgericht das Transparenzgebot als Element des Grundsatzes von Treu und Glauben verankert.

Ergänzend zum bisherigen Transparenzgebot auf der Grundlage der Vorschriften des BDSG a. F., das verlangt, dass jeder Betroffene wissen soll, wer welche Daten für welche Zwecke über ihn erhobt, speichert und verarbeitet und übermittelt und wie lange die Daten gespeichert werden, fügt EG 39 weitere Kriterien hinzu. Danach setzt der Grundsatz der Transparenz voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Näher präzisiert ist die Transparenzpflicht in Art. 12 DSGVO mit Vorschriften zur transparenten Information und Kommunikation und mit Modalitäten für die Ausführung der Rechte der betroffenen Personen. Zu beachten ist die Transparenzpflicht bei jeder Art und Form der Information von Betroffenen, insbesondere bei der Datenerhebung (Information gem. Art. 13 bzw. 14 DSGVO) bei Onlineerhebungen, z. B. auf der Webseite oder bei Auskünften gem. Art. 15 DSGVO.

Die Transparenzpflicht in diesem Sinne schreibt nicht nur vor, worüber die Betroffenen zu unterrichten sind, sondern gem. Art. 12 DSGVO auch, in welcher Weise dies zu geschehen hat, nämlich leicht zugänglich und verständlich und in klarer und einfacher Sprache. Dies impliziert z. B. im Internetauftritt eine deutliche Erkennbarkeit und gute Zugänglichkeit (nicht erst nach einem mehrfachen Blättern) und bei einer formularmäßigen Erhebung eine deutliche Erkennbarkeit, kein Verstecken in Allgemeinen Geschäftsbedingungen etc. Verständlich bedeutet auch in der Muttersprache der Betroffenen und klare und einfache Sprache, keine Fachsprache, die nur Insider verstehen, frei von unverständlichen Fachbegriffen und mit einfachen und leicht verständlichen Erklärungen.

Zweckbindung

b) Personenbezogene Daten dürfen gem. Art. 5 As. 1 lit. b DSGVO „nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken.“

EG 39 ergänzt dazu:

„(…) Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.“

Die Regelung des ersten Halbsatzes entspricht der bisherigen Regelung in Art. 6 Abs. 1 b Satz 1 RL 95/46 EG. In Ausführung dieser Regelung findet sich auch in §§ 4 Abs. 3 Satz 1 Nr. 2, in 3a Abs. 1 Satz 2 und in § 33 Abs. 1 BDSG a. F. eine Unterrichtungs- bzw. Benachrichtigungspflicht über die Zwecke der Erhebung und Verarbeitung und in §§ 28 Abs. 1 und 29 Abs. 1 BDSG a. F. eine Zweckbindung. Weitere Zweckbindungen finden sich in § 32 BDSG a. F. für Beschäftigtendaten und eine besondere Zweckbindung in § 31 BDSG a. F.

Wie nach der bisherigen Rechtslage auch müssen die Zwecke eindeutig bestimmt sein. Unbestimmte wolkige Formulierungen, die den Zweck mehr verschleiern als konkretisieren oder bloße Verweise auf andere Rechtsgrundlagen würden gegen die Transparenzpflicht des Art. 12 DSGVO verstoßen und wären unzulässig. Ebenso müssen die Zwecke von unserer Rechts- und Gesellschaftsordnung für ein Unternehmen als legal und der Verfolgung der Geschäftszwecke des Unternehmens dienend anzuerkennen sein. Diese Zwecke ergeben sich aus der Art der Tätigkeit des Unternehmens, leiten sich also aus den wirtschaftlichen, politischen oder sonstigen Unternehmenszwecken ab.

Dass die Zwecke zum Zeitpunkt der Erhebung feststehen müssen, ergibt sich schon aus der Informationspflicht gegenüber den Betroffenen. Stehen die Zwecke nicht bei der Datenerhebung bereits fest, können die Betroffenen auch nicht über die Zwecke der Erhebung und Verarbeitung unterrichtet werden. Zum anderen (siehe nachfolgend Buchstabe „c“) müssen die Daten dem Zweck angemessen sein. Diese Angemessenheit muss zum Zeitpunkt der Datenerhebung überprüfbar und belegbar sein. Dies ist nur dann möglich, wenn die Zwecke zu diesem Zeitpunkt ausreichend konkret festgelegt sind. Die Zwecke müssen hinreichend konkret und realistisch sein. Unzulässig wäre es, z. B. sozusagen auf Vorrat alle nur möglichen oder denkbaren Verarbeitungszwecke festzulegen und damit Rechtsgrundlagen für Datenverarbeitungen zu schaffen. Da die Zwecke die Erforderlichkeit der Daten und die Verarbeitungen bestimmen, müssen die Zwecke spätestens zum Zeitpunkt der Erhebung der Daten bzw. vor Beginn der Verarbeitung festgelegt und dokumentiert werden. Sind die Zwecke nicht vor der Erhebung der Daten bzw. vor der Aufnahme der Verarbeitung festgelegt, kann die Erforderlichkeit der Daten und der Verarbeitungen nicht belegt werden, und die Erhebung der Daten bzw. deren Verarbeitungen sind unzulässig.

Diese Dokumentation geschieht am zweckmäßigsten in der Übersicht über die Verarbeitungstätigkeiten, indem die einzelnen Datenverarbeitungsverfahren und deren Zwecke dokumentiert und die zur Zweckerreichung erforderlichen Datenkategorien beschrieben werden.

Sind die Daten mit Information des Betroffenen über die Zwecke der Verarbeitung erhoben, dürfen sie nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Diese Zweckbindung der Datenverarbeitung ist ein zentraler Verarbeitungsgrundsatz. Sowohl die Arten der Daten als auch die Verarbeitungsverfahren müssen zum Zeitpunkt der Erhebung zur Erfüllung der festgelegten Zwecke erforderlich sein. Eine Verarbeitung oder Weiterverarbeitung für andere als die festgelegten Zwecke ist nur unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO zulässig

Zweckbindung bedeutet also:

• Es muss sich um einen legalen und unternehmensdienlichen Zweck handeln.
• Die Zwecke müssen festgelegt sein.
• Die Daten müssen für die Erreichung der Zwecke erforderlich sein bzw. die Erhebung, Verarbeitung und Nutzung der Daten muss diesem Zweck dienen.
• Die Verarbeitung und Nutzung der Daten sind an diese Zwecke gebunden.
• Der Umfang der Datenverarbeitung oder Nutzung darf das Maß nicht überschreiten, das zur Erreichung der festgelegten Zwecke erforderlich ist.

Die Voraussetzungen, unter denen eine Zweckänderung zulässig sein soll, sind in Art. 6 Abs. 4 DSGVO wie folgt konkretisiert:

„Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

Zweckänderungen, allerdings beschränkt auf die Übermittlung oder Nutzung, waren bisher im Rahmen der gesetzlichen Regelungen wie § 28 Abs. 2 BDSG a. F. und unter den Einschränkungen des § 28 Abs. 3 BDSG a. F. zulässig, wenn grundsätzlich ein berechtigtes Interesse der verantwortlichen Stelle oder eines Dritten anzuerkennen ist. Art. 5 Abs. 1b und 6 Abs. 4 DSGVO stellen nicht mehr auf ein berechtigtes Interesse ab, sondern auf die Vereinbarkeit des neuen Zweckes mit dem ursprünglichen Zweck, für den die Daten erhoben worden sind. Ein berechtigtes Interesse ist jedoch insofern zu beachten, als die Daten für die Verfolgung der berechtigten und legitimen Unternehmenszwecke erheblich und angemessen sein müssen. Ist dies nicht der Fall, lässt sich eine Vereinbarkeit mit dem ursprünglichen Erhebungszweck nicht begründen und die Zweckänderung muss als unzulässig beurteilt werden.

Art. 5 Abs. 1b 2. Halbsatz DSGVO erweitert unter den Voraussetzungen des Art. 89 DSGVO den Zulässigkeitsrahmen der Zweckänderung um eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke und bestimmt, dass eine Verarbeitung der Daten für diese Zwecke nicht als unvereinbar mit den ursprünglichen Zwecken anzusehen ist.

Weitere Grundsätze gem. Art. 5 Abs. 1 DSGVO

Datenminimierung

c) personenbezogene Daten müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.“

Die personenbezogenen Daten müssen für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert neben der Beschränkung der Kategorien der Daten und des Umfangs der Verarbeitungen auch, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt.

Hinter diesem Grundsatz steht der aus § 3a BDSG a. F. schon bekannte Grundsatz der Datenvermeidung und Datensparsamkeit. Art. 5 Abs. 1c DSGVO greift die bereits in Art. 6 Abs. 1c der RL 95/46 EG verankerte Regelung auf und begrenzt die Zulässigkeit der Verarbeitung von personenbezogenen Daten auf das Maß des für die Zweckerreichung Erforderlichen. Die Verarbeitung von Datenkategorien, die für den festgelegten Zweck nicht erforderlich sind oder hierfür nicht mehr erforderliche Verarbeitungsverfahren sind unzulässig. Wenn die Kenntnis der Daten oder bestimmte Verarbeitungen für die Erreichung der Zwecke nicht mehr erforderlich sind, müssen die Daten gelöscht bzw. die nicht mehr erforderlichen Verarbeitungsverfahren eingestellt werden.

Dies erfordert lt. EG 39 insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Die Verpflichtung zur Löschung und das Recht der Betroffenen auf Löschung sind im Einzelnen in Art. 17 DSGVO geregelt. Seine weitere technische Ausgestaltung findet diese Regelung in Art. 25 DSGVO, der durch eine geeignete Gestaltung der Technik und datenschutzfreundliche Voreinstellungen zu den Datenverarbeitungsverfahren Maßnahmen zur Datenminimierung verlangt.

Der Begriff der Löschung wird zwar in Art. 4 Nr. 2 DSGVO als eine Form der Verarbeitung genannt und in Art. 17 DSGVO verwendet und auch in Erwägungsgründen benutzt, aber nicht näher definiert. In § 3 Abs. 4 Nr. 5 BDSG a. F. war das Löschen als „Unkenntlichmachen gespeicherter personenbezogener Daten“ definiert. In diesem Sinne ist „Löschen“ ein Unkenntlichmachen in einer Form, die eine Wiederherstellung bzw. eine Rekonstruktion der Daten ausschließt, z. B. durch eine Löschung mit einem sicheren Löschprogramm. Ein bloßes Formatieren eines Datenträgers lediglich mit einer Löschung der Verzeichnisse reicht nicht aus. Zu denken ist bei der Löschung auch an Back-up-Bestände auf Sicherungsdatenträgern und an Archivdateien. Hier sind Verfahren anzuwenden, die die zu löschenden Daten auch aus diesen Datenbeständen löschen bzw. im Falle eines Restores die Wiederherstellung von gelöschten personenbezogenen Daten zuverlässig verhindert. Eine Vernichtung des Datenträgers erfüllt ebenfalls die Anforderungen an ein „Unkenntlichmachen“, ist aber nicht gefordert. Da bei einer Anonymisierung, wie noch ausgeführt wird, angesichts einer laufenden Fortentwicklung von Analyseverfahren eine Re-Personalisierung nie ganz ausgeschlossen werden kann, kann eine Löschung nicht durch eine Anonymisierung ersetzt werden. Nicht mehr erforderliche personenbezogene Daten sind deshalb unter den näheren Voraussetzungen des Art. 7 DSGVO unumkehrbar und dauerhaft zu löschen. Sollen die Daten in anonymisierter Form weiterverarbeitet werden, müssen weitere rechtliche Voraussetzungen, z. B. in Form einer Einwilligung, geschaffen werden.

Richtigkeit

d) die Daten müssen „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.“

In § 35 BDSG a. F. war auch bisher schon ein Anspruch auf eine Berichtigung von unrichtigen Daten geregelt. Stärker als bisher wird mit Art. 5 Abs.1 d DSGVO in den Vordergrund gerückt, dass der Verantwortliche von sich aus und ohne ein Berichtigungsverlangen des Betroffenen die personenbezogenen Daten richtig und aktuell halten muss und im Falle einer Unrichtigkeit die Daten von sich aus berichtigen und, wenn die Daten nicht mehr erforderlich sind, auch löschen muss. Stellt der Betroffene die Unrichtigkeit oder Unvollständigkeit der ihn betreffenden Daten fest, kann er gem. Art. 16 DSGVO die Berichtigung verlangen.

Auch dieser Grundsatz ist bereits in Art. 6 Abs. 1d der RL 95/46 EG verankert und wird in der DSGVO fortgeführt. Die personenbezogenen Daten müssen im Hinblick auf die Zwecke ihrer Verarbeitung sachlich richtig sein. Die Anforderung der sachlichen Richtigkeit wird damit in Bezug auf die Zwecke der Verarbeitung gesetzt, denn eine Berichtigungspflicht besteht nur dann, wenn die Daten im Hinblick auf die Zwecke der Verarbeitung unrichtig sind. Daraus kann abgeleitet werden, dass eine Berichtigungspflicht dann nicht besteht, wenn die Richtigkeit oder Unrichtigkeit der Daten im Hinblick auf den konkreten Verarbeitungszweck bedeutungslos ist oder geworden ist. Damit gewinnt die Berichtigungspflicht auch einen Zeitaspekt, denn Daten können zu einem früheren Zeitpunkt richtig gewesen sein und durch eine Änderung der persönlichen Verhältnisse der Betroffenen unrichtig geworden sein, z. B. die Anschrift des Betroffenen. Eine Berichtigungspflicht besteht einerseits dann nicht, wenn der Datenbestand die Verhältnisse zu einem bestimmten Zeitpunkt dokumentieren muss, und andererseits auch dann nicht, wenn diese Unrichtigkeit für die weitere Verarbeitung keine Bedeutung mehr besitzt. Soweit an die Daten Dokumentationsanforderungen bestehen, können unrichtige Daten evtl. nicht ohne weiteres mit den richtigen Daten überschrieben werden. Wegen eines evtl. geltenden sog. Radierverbots muss die Berichtigung dann so durchgeführt werden, dass die ursprünglichen unrichtigen Daten lesbar bzw. erhalten bleiben. In diesen Fällen können die unrichtigen Daten als unrichtig gekennzeichnet und um die richtigen Daten ergänzt werden. Eventuell geltende formelle Vorschriften für die Durchführung der Berichtigung sind zu beachten. Ferner müssen Vorkehrungen getroffen werden, dass die Verarbeitung der unrichtigen Daten eingeschränkt wird. Die Regelung differenziert auch zwischen Richtigkeit und Aktualität der Daten. Daten können richtig, aber nicht mehr aktuell sein oder aktuell (z. B. gemessen am Zeitpunkt der Erhebung), aber unrichtig sein.

Die Forderung nach dem neuesten Stand richtet sich nach dem Grad der Erforderlichkeit, während sich die Forderung nach der sachlichen Richtigkeit an den Zwecken der Verarbeitung orientiert.

Der Verantwortliche hat (so Art. 5 Abs. 1d DSGVO) alle angemessenen Maßnahmen zu treffen, um die Richtigkeit der personenbezogenen Daten im Hinblick auf die Zwecke ihrer Verarbeitung und ihre Berichtigung, ggf. ihre Löschung zu gewährleisten, (so auch EG 39: Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden). Die Verpflichtung zur Berichtigung steht damit unter dem Regime der Angemessenheit bzw. der Vertretbarkeit. Welche Maßnahmen als angemessen bzw. vertretbar oder als nicht mehr angemessen bzw. unvertretbar zu beurteilen sind, ist an den Auswirkungen der Verarbeitung von unrichtigen Daten auf die Rechte und Freiheiten der Betroffenen auszurichten. Je schwerwiegender die Auswirkungen einer Verarbeitung unrichtiger Daten für den Betroffenen ausfallen können, umso höher gestaltet sich der Anspruch an die Angemessenheit der Maßnahmen. Bei lediglich geringfügigen Auswirkungen kann der Anspruch an die Maßnahmen hinsichtlich Aufwand und Kosten geringer veranschlagt werden. Sind jedoch die Auswirkungen erheblich, limitiert sich die Angemessenheit der Maßnahmen nicht an Aufwand und Kosten, denn die Folge wäre dann ein Datenschutz nach Kassenlage. In den Fällen eines unvertretbaren Aufwands stellt sich vielmehr die Frage nach der Zulässigkeit des Datenverarbeitungsverfahrens.

Speicherbegrenzung

e) „personenbezogene Daten müssen (…) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden.“

EG 39 sagt dazu:

„(…) Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen (…)“

Auch diese Regelung greift die Regelung des Art. 6 Abs. 1e RL 95/46 EG auf und erlaubt eine Speicherung von personenbezogenen Daten nur, solange dies für die Zwecke, für die sie verarbeitet werden, auch erforderlich ist. Dieser Grundsatz entspricht auch den Grundsätzen und Vorschriften des BDSG a. F., das in § 35 ebenfalls eine Löschung verlangte, wenn die Kenntnis der Daten für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich war. Näher ausgestaltet ist die Löschpflicht in Art. 17 DSGVO.

Ohne die Begriffe „Pseudonymisierung“ und „Anonymisierung“ zu benutzen, schreibt Art. 5 Abs. 1lit. e DSGVO vor, dass die Daten nur solange in einer die Person identifizierenden Form gespeichert werden dürfen, wie es für die Zwecke der Verarbeitung erforderlich ist. Personenbezogene Daten müssen also zum frühestmöglichen Zeitpunkt pseudonymisiert oder anonymisiert werden, wobei der Anonymisierung nach Möglichkeit der Vorzug gegeben werden sollte.

Pseudonymisierung

Die Pseudonymisierung ist in Art. 4 Nr. 5 DSGVO als die Verarbeitung personenbezogener Daten in einer Weise definiert, „(…) dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Nach dieser Definition werden aus den Datensätzen diejenigen Informationen, die eine Person identifizieren, durch Pseudonyme ersetzt. Damit besteht für die Datensätze kein Personenbezug mehr. Die Identitätsdaten werden von dem pseudonymisierten Datenbestand getrennt verwaltet. Eine Depseudonymisierung, d. h. eine Wiederherstellung des Personenbezugs darf nur unter Hinzuziehung der getrennt verwalteten Identifizierungsdaten möglich sein. Damit ist, anders als bei einer Anonymisierung, eine Identifikation der betroffenen Personen zwar erschwert, aber nach wie vor möglich. Pseudonymisierte Daten unterliegen deshalb weiter den datenschutzrechtlichen Vorschriften. Die Identitätsdaten müssen durch geeignete technische und organisatorische Maßnahmen geschützt werden, um eine unbefugte Nutzung und eine unbefugte Zusammenführung mit dem pseudonymisierten Datenbestand zu verhindern. Dies kann durch ein wirksames Zugriffs- bzw. Rechtekonzept von einer Separierung und Zugriffsbeschränkungen, einer Verschlüsselung der Identifizierungsdaten bis hin zu einer Einschaltung von Datentreuhändern geschehen. Je nach der Stärke des dadurch erreichten Schutzes der Identifikationsdaten kann damit ein dem Schutzbedarf der Daten angemessenes Schutzniveau erreicht und die Risiken für die betroffenen Personen gesenkt werden (siehe dazu EG 28 und 29). Insbesondere bei einer Verarbeitung von besonderen Datenarten oder von Daten, die einem erhöhten Risiko unterliegen, ist eine starke Pseudonymisierung ein Instrument, das bei einer Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO risikomindernd und als die Interessen und Grundrechte und Grundfreiheiten der betroffenen Personen schützendes Argument berücksichtigt werden kann.

Anonymisierung

Der Begriff der Anonymisierung ist in der DSGVO nicht definiert. Lediglich EG-Nr. 26 Satz 5 führt aus:

„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“

Auch Art. 2 Nr. 7 der Open-Data-Richtlinie (Richtlinie (EU) 2019/1024 vom 10. Juni 2019) bezeichnet der Ausdruck „Anonymisierung“ den Prozess, in dessen Verlauf Dokumente in anonyme Dokumente umgewandelt werden, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten so anonym gemacht werden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.

In der Datenschutzliteratur werden zur Anonymität zwei Begriffsdefinitionen diskutiert, und zwar die sog. absolute Anonymität und die relative bzw. faktische Anonymität.

Absolute Anonymität

Bei der Annahme einer absoluten Anonymität ist eine Zuordnung von Daten zu einer bestimmten oder bestimmbaren Person unmöglich. Als Problem zeichnet sich hier immer mehr ab, dass die Speicherkapazitäten und die Leistung von Rechnern und Prozessoren ständig erhöht und verbessert werden. Hinzu kommt eine ständige Verbesserung der Analyseverfahren und damit eine fortschreitende Verknüpfbarkeit von Daten. Zu beachten ist auch, dass es insbesondere bei komplexen Datensätzen nicht mehr genügt, nur die eine Person kennzeichnenden Daten, wie Name und Geburtsdatum zu entfernen. In vielen Fällen kann eine Person, z. B. im Gesundheitsbereich, auch ohne Kenntnis von Namen und Geburtsdatum anhand einer Kombination von anderen Daten, wie Symptomen, Diagnosen, Nebenbefunden, verordneten Medikamenten u. a., mit gängigen Analyseverfahren mühelos identifiziert werden. Je komplexer ein Datensatz gestaltet ist, umso schwieriger wird es, all diejenigen Datenkategorien zu identifizieren und zu entfernen, die in ihrer Kombination eine Identifizierung der Person ermöglichen. Dies kann so weit führen, dass die Daten am Ende wegen mangelnder Aussagefähigkeit für den beabsichtigten Zweck erheblich an Wert verlieren.

Vor dem Hintergrund dieser Entwicklung, von der kein Ende abzusehen ist, kann bei Daten, die auf der Grundlage des heutigen Stands der Technologie und der Analyseverfahren als anonym gelten können, im Zeitalter von Big Data eine dauerhafte, absolute Anonymität häufig nicht mehr gewährleistet werden.

Relative/faktische Anonymität

Die Zuordnung von Daten zu einer bestimmten oder bestimmbaren Person ist hier zwar nicht ausgeschlossen, erfordert jedoch einen unverhältnismäßig großen Aufwand.

Der EG-Nr. 26 führt dazu aus:

„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern (…). Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. (…)“

Auch der EuGH folgt in seinem Urteil vom 19. Oktober 2016, Az.: C – 582/14 zu dynamischen IP-Adressen dem relativen Ansatz und führt aus:

„3. Dass über die zur Identifizierung des Nutzers einer Website erforderlichen Zusatzinformationen nicht der Anbieter von Online-Mediendiensten, sondern der Internetzugangsanbieter dieses Nutzers verfügt, vermag nicht auszuschließen, dass die von einem Anbieter von Online-Mediendiensten gespeicherten dynamischen IP-Adressen für ihn personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 darstellen. Maßgeblich hierfür ist jedoch, ob für den Anbieter von Online-Mediendiensten die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann. Dies ist nicht der Fall, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene.“

Dieser relative Ansatz verlangt nicht, wie der Ansatz der absoluten Anonymität, dass die Person unter gar keinen Umständen mehr identifiziert werden kann, sondern geht bereits dann von einer faktischen Anonymität aus, wenn die Person mit den dem Verantwortlichen zugänglichen Mitteln nicht oder nur mit einem unverhältnismäßigen und unvertretbaren Aufwand an Mitteln und Kosten identifiziert werden kann. Bei der Beurteilung der Identifizierungsmöglichkeiten ist vom Stand der verfügbaren Technologie und den möglichen technischen Entwicklungen auszugehen. Damit erhält der Begriff der relativen Anonymität sowohl einen sachlichen Bezug zur Komplexität der Daten als auch einen zeitlichen Bezug zur Entwicklung der technischen Möglichkeiten. Je komplexer die Datensätze sind, umso schwieriger wird es, eine Identifizierbarkeit der betroffenen Personen durch eine Kombination der Daten zu verhindern, und je sensibler die Daten sind, umso höher sind die Anforderungen an eine relative Anonymität. Je länger die Daten im Zustand ihrer relativen Anonymität gespeichert bzw. verarbeitet werden sollen, umso mehr müssen auch die künftigen Möglichkeiten, die Daten mit neuen Analyseverfahren repersonalisieren zu können, berücksichtigt werden.

Bei den heute gängigen Verfahren zur Anonymisierung wird bei Anlegung dieser Kriterien häufig keine dauernde und zuverlässige Anonymität, sondern nur noch eine sog. „faktische oder auch relative Anonymität“ anerkannt, bei der sich eine Identifizierung der Person künftig nicht mehr sicher ausschließen lässt. Im Ergebnis führt dies dazu, dass mit dem Begriff der Anonymisierung im Datenschutzrecht vielfach nicht mehr tragfähig argumentiert werden kann. Sind die Bezugsdaten bei irgendwelchen Stellen vorhanden, kann die Herstellung eines Personenbezugs bei Kenntnis dieser Bezugsdaten, z. B. Initialen, Alter oder Geschlecht, nicht mehr sicher ausgeschlossen werden. Eine relative/faktische Anonymität steht auch dann zur Diskussion, wenn die für eine Personalisierung erforderlichen Informationen zwar nicht zur Verfügung stehen und auf legalem Weg auch nicht beschafft werden können, denn auch in diesen Fällen kann u. U. ein Zugang zu den Daten nicht mit Sicherheit verhindert werden. Nach vertretener Auffassung können deshalb die Daten zumindest auf Dauer nicht mehr als anonym betrachtet werden, sondern nur noch als pseudonymisiert. Ggf. muss in angemessenen Abständen überprüft werden, ob angesichts der jeweils aktuellen technischen Möglichkeiten auch künftig noch von einer ausreichenden Anonymisierung ausgegangen werden kann.

Eine Anonymisierung ist eine Verarbeitung von personenbezogenen Daten i. S. v. Art. 4 Nr. 2 DSGVO, das heißt, für diese Verarbeitung müssen die Vorschriften der DSGVO beachtet werden. Auch wenn eine Anonymisierung nicht mit einer Löschung gleichgesetzt werden kann, ist die Anonymisierung nach Ziel und Wirkung, nämlich die Zuordnung von Daten zu einer Person aufzuheben, mit einer Löschung prinzipiell vergleichbar. Die Forderung nach einer sicheren Löschung kann aber mit einer Anonymisierung, sei es mit einer absoluten oder einer relativen Anonymisierung, nicht erfüllt werden, weil eine Repersonalisierung, wenn auch erst zu einem Zeitpunkt, nie ganz ausgeschlossen werden kann. Vor einer Anonymisierung ist deshalb analog den Vorschriften zur Löschung auch zu prüfen, ob die betroffene Person an der Aufrechterhaltung des Personenbezugs ein schutzwürdiges Interesse besitzen kann. Dieses schutzwürdige Interesse am Erhalt des Personenbezugs wird grundrechtlich durch Art. 8 GRCh und das informationelle Selbstbestimmungsrecht geschützt. Wenn danach die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person an einer Aufrechterhaltung des Personenbezugs überwiegen, hat die Anonymisierung der Daten zu unterbleiben.

Integrität und Vertraulichkeit

f) die Daten müssen „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.“

EG 39 ergänzt dazu:

„(…) Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.“

Eine ähnliche Grundsatzregelung zum Systemdatenschutz findet sich bereits in Art. 17 Abs. 1 der RL 95/46 EG, der die Mitgliedstaaten verpflichtet, zum Schutz der personenbezogenen Daten geeignete technische und organisatorische Maßnahmen einzurichten. Die Vorschrift des Art. 5 Abs. 1 f DSGVO setzt den Grundsatz des Systemdatenschutzes der RL 95/46 EG in Form einer verbindlichen gesetzlichen Vorschrift fort und richtet den Fokus auf technische und organisatorische Maßnahmen zur Wahrung der Integrität und Vertraulichkeit der Daten.

Technische und organisatorische Maßnahmen

Art. 24 Abs. 1 DSGVO erweitert den Fokus des Art. 5 Abs. 1 f DSGVO um die Sicherstellung der Verarbeitung gemäß der Verordnung und um die Führung des Nachweises der Einhaltung dieser Verordnung. Auch Art. 25 Abs. 1 DSGVO verdeutlicht, dass mit den technischen und organisatorischen Maßnahmen nicht nur der technische Schutz der Daten erreicht werden soll, sondern insgesamt den Anforderungen dieser Verordnung zu genügen ist und die Rechte der Betroffenen zu schützen sind. Damit sind in diese Vorschrift auch Maßnahmen zur Sicherstellung der Informationspflicht und zur Wahrung der Rechte der Betroffenen eingeschlossen. Um die Einhaltung dieser Verordnung nachweisen zu können, soll, so EG 78, der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen. Der Begriff der angemessenen Sicherheit ist in Art. 24 Abs. 1 DSGVO dahingehend konkretisiert, dass der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen einzurichten hat.

Mit Blick auf die Anforderungen des Art. 24 DSGVO ist es nicht sinnvoll, lediglich punktuell technische und organisatorische Maßnahmen zu ergreifen und einzurichten, sondern die Maßnahmen sollten als ein in sich stimmiges und bezüglich der einzelnen Maßnahmen aufeinander abgestimmtes Datenschutzmanagementsystem eingerichtet und prozessorientiert organisiert werden. Wichtig ist in diesem Zusammenhang wie bei jeder prozessorientierten Organisation die Berücksichtigung von Schnittstellen und Wechselwirkungen zwischen den einzelnen Prozessen des Systems, z. B. zwischen Datenschutzprozessen, Prozessen des Informationssicherheitssystems und des internen Kontrollsystems. Rollen und Verantwortliche müssen nach Bedarf festgelegt werden, z. B. Datenschutzkoordinatoren oder Informationseigentümer, und die zum Nachweis der Rechenschaftspflicht erforderlichen Dokumente und ihre Lenkung müssen festgelegt werden. Für die einzelnen Prozesse müssen in einem Management- und Delegationskonzept Aufgaben, Verantwortung und Befugnisse zugewiesen werden.

Zur Einrichtung von geeigneten technischen und organisatorischen Maßnahmen eignet sich auf Dokumentenebene z. B. ein Datenschutzhandbuch mit entsprechenden Regelungen, nach Bedarf ergänzt durch eine IT-Sicherheitsrichtlinie und ggf. durch eine Vertraulichkeitsrichtlinie. Wichtig sind auch Regelungen zur Löschung von personenbezogenen Daten sowie zu den Rechten der Benutzer von Datenverarbeitungssystemen, zur Testung und Freigabe von Verarbeitungsverfahren und, soweit ein Betriebsrat eingerichtet ist, der Abschluss von Betriebsvereinbarungen und ansonsten der Erlass von entsprechenden Richtlinien, z. B. zur Videoüberwachung. Zu den Maßnahmen und Strategien gehören auch ein Schulungskonzept für die Schulung und Sensibilisierung der Beschäftigten in Fragen des Datenschutzes und nachweisbare Einweisungen der Beschäftigten in die verschiedenen Prozesse zur Umsetzung des Datenschutzes im Unternehmen. Die Aktualität und die Wirksamkeit der Maßnahmen sind laufend zu überprüfen. Dazu empfiehlt sich ein Verfahren nach dem PDCA-Zyklus nach den Grundsätzen einer kontinuierlichen Verbesserung.

Risiken für die Rechte und Freiheiten natürlicher Personen

Risiken für die Rechte und Freiheiten natürlicher Personen können, so EG 75, aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

Die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten nach EG 76 in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Kriterien hierfür sind

1. Vertrauliche oder höchst persönliche Daten
2. Daten zu schutzbedürftigen Betroffenen
3. Datenverarbeitung in großem Umfang
4. Systematische Überwachung
5. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
6. Bewerten oder Einstufen (Scoring)
7. Abgleichen oder Zusammenführen von Datensätzen
8. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
9. Hinderung der Betroffenen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags

Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt. Im EG 76 wird eine Differenzierung zwischen einem Risiko und einem hohen Risiko getroffen. Die DSGVO führt zwar in EG 75 Beispiele für Risiken der Betroffenen an und spricht an verschiedenen Stellen auch von Risiken und von hohen Risiken. Dies legt eine qualitative Skalierung nach geringem, mittlerem und hohem Risiko nahe, zumal eine quantitative Beurteilung nach der konkreten Schadenshöhe vorausschauend kaum möglich sein dürfte (vgl. dazu: Prozessorientiertes Datenschutzmanagement, Rechtsgrundlagen und Arbeitshilfen zur Organisation des Datenschutzes).

Datenschutzziele

Art. 32 Abs. 1 DSGVO bestimmt, dass die technischen und organisatorischen Maßnahmen dem Stand der Technik entsprechen müssen und unter Abwägung der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen auszuwählen sind (zum Stand der Technik vgl.: Prozessorientiertes Datenschutzmanagement, Rechtsgrundlagen und Arbeitshilfen zur Organisation des Datenschutzes). Die DSGVO enthält nicht wie die Anlage zu § 9 BDSG a. F. einen konkreten Katalog an Kontrollen als Richtschnur für die Gestaltung der technischen und organisatorischen Maßnahmen, sondern nennt Datenschutzziele wie Integrität, Vertraulichkeit, Richtigkeit, Speicherbegrenzung und Datenminimierung, deren Erreichung durch geeignete und angemessene technische und organisatorische Maßnahmen zu gewährleisten ist. Wie diese Datenschutzziele erreicht werden sollen, muss jeder Verantwortliche für sich und nach seinen individuellen Umständen und Gegebenheiten festlegen und entsprechende Maßnahmen einrichten. Diese Maßnahmen sollten aber in sich schlüssig, vollständig, aufeinander abgestimmt, kontrollierbar und wirksam sein. EG 78 empfiehlt dazu die Erarbeitung eines schlüssigen Konzepts und sagt:

Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.

EG 78 enthält auch konkrete Hinweise dazu, welche Maßnahmen zur Erreichung dieser Datenschutzziele geeignet sind und in den Strategien als Maßnahmen berücksichtigt werden sollten und konkretisiert wie folgt:

„Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.“

Der Nachweis der Einrichtung ausreichender, geeigneter und wirksamer technischer und organisatorischer Maßnahmen kann insbesondere durch eine Zertifizierung gem. Art. 42 DSGVO geführt werden (Art. 24 Abs. 3 und Art. 25 Abs. 3, Art. 32 Abs. 3 DSGVO).

Das Fehlen eines Katalogs ähnlich der Anlage zu § 9 BDSG a. F. bedeutet aber nicht, dass die technischen und organisatorischen Maßnahmen nach dem Muster dieser Anlage gegenstandslos geworden sind, sondern sie stehen, wie die nachstehende Tabelle zeigt, in einem Bezug zu den Datenschutzzielen der DSGVO. Die Tabelle zeigt, welche technischen und organisatorischen Maßnahmen der Anlage zu § 9 BDSG a. F. die Datenschutzziele des Art. 5 Abs. 1 DSGVO unterstützen. Die bisherige Dokumentation der technischen und organisatorischen Maßnahmen wird damit nicht gegenstandslos, bedarf aber einer Anpassung an die neue Systematik und einer Erweiterung, insbesondere hinsichtlich der Schwerpunkte der Art. 25 und 32 DSGVO.

Die technischen und organisatorischen Maßnahmen sind zu dokumentieren und gem. Art. 24 Abs. 1 DSGVO einer laufenden Überprüfung zu unterziehen.

Der Begriff der Dokumentation ist umfassend zu verstehen und umfasst alle Dokumentationen mit Datenschutz- und IT-Sicherheitsrelevanz. Um die Nachweis- und Rechenschaftspflichten des Art. 24 Abs. 1 und 5 Abs. 2 DSGVO erfüllen zu können, muss die Dokumentation vollständig sein, andererseits sind Redundanzen zu vermeiden.

Rechenschaftspflicht

Unter dem Stichwort der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO muss der Verantwortliche die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO nachweisen können. Um diese Rechenschaftspflicht erfüllen zu können, ist neben der Beschreibung der Datenverarbeitungsverfahren im Verfahrensverzeichnis nicht nur eine Regelung der datenschutzrelevanten Angelegenheiten erforderlich, sondern auch eine regelmäßige Kontrolle der Einhaltung dieser Regelungen und der Nachweis ihrer Wirksamkeit. Dies kann z. B. durch regelmäßige interne Prüfungen durch den Datenschutzbeauftragten geschehen. Im Hinblick auf die wohl zunehmende Bedeutung von Audits und Zertifizierungsverfahren einerseits und die stärkere Einbindung der Datenschutzorganisation in das Managementsystem des Unternehmens und in das Qualitätsmanagement andererseits bieten sich auch interne Datenschutzaudits zur laufenden Datenschutzkontrolle an.

Um überhaupt einen Nachweis über die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO führen zu können, müssen die für die Umsetzung und Einhaltung dieser Grundsätze erforderlichen Regelungen nachvollziehbar, das heißt dokumentiert und z. B. im Managementsystem des Unternehmens sowie in der Unternehmensdokumentation verankert, sein. Auf diese Regelungen kann dann bei internen Prüfungen referenziert und der Grad der Erfüllung bzw. Beachtung dieser Regelungen beurteilt werden.

Das zentrale Referenzdokument bildet das Verzeichnis über die Verarbeitungstätigkeiten mit den ergänzenden Prozess- und Datenflussplänen. In diese Prozess- und Datenflusspläne sind die Datenschutzprozesse einmodelliert. Anhand dieser Dokumente kann die Einhaltung der Datenschutzvorschriften überprüft und bewertet werden (zur Rechenschaftspflicht vgl. auch: Prozessorientiertes Datenschutzmanagement, Rechtsgrundlagen und Arbeitshilfen zur Organisation des Datenschutzes).