1.4.1.2Treu und Glauben
Aus dem Grundsatz der Verarbeitung nach Treu und Glauben ergibt sich das Erfordernis einer fairen Verarbeitung.[39] Dementsprechend besteht die Möglichkeit, dass eine grundsätzlich rechtmäßige Datenverarbeitung als rechtswidrig qualifiziert wird, wenn sie unfair ist, beispielsweise weil sie das Vertrauen der betroffenen Person missbraucht.[40] Gleiches könnte gelten, wenn eine betroffene Person durch die an sich rechtmäßige Verarbeitung ihrer personenbezogenen Daten benachteiligt wird und ein Kräfteungleichgewicht zwischen dem Betroffenen und dem Verantwortlichen besteht.[41] Letzteres wird im B2C-Bereich regelmäßig der Fall sein.
1.4.1.3Transparenz
Eine Datenverarbeitung muss gegenüber der betroffenen Person hinreichend transparent erfolgen. Dem Betroffenen soll es daher möglich sein, zu erkennen, dass und in welchem Umfang die sie betreffenden personenbezogenen Daten verarbeitet werden bzw. werden sollen. Diesbezügliche Informationen und Mitteilungen müssen verständlich und in klarer und einfacher Sprache abgefasst werden[42] und für die betroffene Person außerdem leicht zugänglich sein. Insbesondere betrifft dies die Information über die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechte der betroffenen Person und etwaige Risiken im Zusammenhang mit der Datenverarbeitung (ErwGr 39 DSGVO). Diese Transparenzanforderungen werden durch die Bestimmungen der Art 12 bis Art 15 DSGVO ergänzt.
Die Pflicht, umfassend zu informieren, muss jedoch von Unternehmen nicht zum Anlass genommen werden, über alle nur denkbaren Verarbeitungsschritte und Verwendungssituationen zu informieren. Von überschießenden Informationen ist Abstand zu nehmen, wenn es die Verständlichkeit und Einfachheit der erteilten Informationen negativ beeinflusst. Vielmehr ist es erforderlich, situationsgerecht zu informieren, d. h. es sollen nur jene Informationen bereitgestellt werden, die für die jeweilige Handlungs- und Entscheidungssituation relevant sind.[43]
Der Grundsatz der Transparenz betrifft auch Systeme der Informationstechnik. Ein solches System muss so ausgestaltet sein, dass für die betroffene Person erkennbar ist, was das System tut bzw. tun kann und wie sich das System mit der Zeit verändern kann.[44]
1.4.2 Zweckbindung
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Art 5 Abs 1 lit b DSGVO).
Die Zwecke der Datenverarbeitung müssen jedenfalls schon vor der Datenerhebung – in dokumentierter Form[45] – festgelegt werden.[46] Auch sollten Unternehmen zu unspezifische Zweckbeschreibungen vermeiden. Als zu unspezifisch gelten wohl Formulierungen wie „Die Daten werden zu Marketing-Zwecken“ oder „zur Verbesserung der Benutzerfreundlichkeit erhoben“.[47]
Ändert sich der Zweck der Datenverarbeitung, werden durch den Zweckbindungsgrundsatz nur solche Weiterverarbeitungen ausgeschlossen, deren Zwecke nicht mit dem Erhebungszweck vereinbar sind. Somit sind Verarbeitungen zu anderen als den ursprünglichen, zum Zeitpunkt der Erhebung vorgesehenen Zwecken durchaus möglich.[48]
1.4.3 Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke notwendige Maß beschränkt werden (Art 5 Abs 1 lit c DSGVO).
Als dem Zweck angemessen gelten personenbezogene Daten nur, wenn diese „bezogen auf den Zweck hinsichtlich Funktion, Inhalt und Umfang sachgerecht sind“.[49] So wird die Verarbeitung besonderer Kategorien personenbezogener Daten (Art 9 DSGVO) für banale Zwecke wohl idR nicht angemessen sein.[50] Die personenbezogenen Daten sind für den Zweck erheblich, wenn diese geeignet sind, die Zweckerreichung zu fördern.[51] Auf das für die Zwecke notwendige Maß beschränkt ist die Verarbeitung personenbezogener Daten, wenn es nicht möglich ist, den Zweck ohne ihre Verarbeitung zu erreichen.[52]
Um im Sinne des Grundsatzes der Datenminimierung zu agieren, sollten Unternehmen auch hinterfragen, ob der Verarbeitungszweck unter Umständen nicht auch dann erreicht werden kann, wenn die personenbezogenen Daten anonymisiert sind. Wird dies bejaht, kann die Verarbeitung nicht-anonymisierter Daten als ein Verstoß gegen diesen Grundsatz zu qualifizieren sein.[53]
1.4.4 Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls[54] auf dem neuesten Stand sein. Es sind außerdem alle Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Art 5 Abs 1 lit d DSGVO). Durch diesen Grundsatz ergeben sich für Verantwortliche folgende Pflichten:
+Bei erstmaliger Erhebung muss mit der üblichen Sorgfalt geprüft werden, ob die Daten richtig sind.
+Werden dem Verantwortlichen zu einem späteren Zeitpunkt Unrichtigkeiten bekannt, so muss dieser die Daten entsprechend korrigieren.
+Ergeben sich Anzeichen, dass personenbezogene Daten unter Umständen unrichtig sind, trifft den Verantwortlichen diesbezüglich eine Nachforschungspflicht.
+Es müssen technische und organisatorische Maßnahmen getroffen werden, durch die die Richtigkeit der personenbezogenen Daten überprüft wird bzw. die personenbezogenen Daten im Fall der Unrichtigkeit berichtigt werden.[55]
1.4.5 Speicherbegrenzung
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art 5 Abs 1 lit e 1. HS DSGVO).
Der Verantwortliche hat daher zu prüfen, für welchen Zeitraum personenbezogene Daten für die Erreichung des Zwecks erforderlich sind.[56] Dabei hat die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt zu bleiben (ErwGr 39 DSGVO).
Nach diesem Zeitraum kann dem Grundsatz der Speicherbegrenzung durch Löschung oder Aufhebung der personenbezogenen Daten, zB durch Anonymisierung, Rechnung getragen werden.[57] Damit personenbezogene Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche aber Fristen für die Löschung oder regelmäßige Überprüfungen vorsehen (ErwGr 39 DSGVO).
1.4.6 Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies inkludiert den Schutz
+vor unbefugter oder unrechtmäßiger Verarbeitung und
+vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Art 5 Abs 1 lit f DSGVO).
Diese Sicherheit hat der Verantwortliche durch die Ergreifung von geeigneten technischen und organisatorischen Maßnahmen zu gewährleisten. Diese werden durch Art 32 DSGVO konkretisiert (Details siehe Kapitel 12).
Der Verantwortliche hat daher u. a. sicherzustellen, dass Unbefugte keinen Zugang zu den personenbezogenen Daten haben und ihnen auch keine Möglichkeit gegeben wird, Geräte, mit denen personenbezogene Daten verarbeitet werden, zu benutzen (ErwGr 39 DSGVO). Eine unbefugte Verarbeitung wird idR durch unbefugte Dritte, die nicht dem Verantwortlichen zuzuordnen sind, vorgenommen.[58] Aber auch die Verarbeitung durch Mitarbeiter des Verantwortlichen kann unter Umständen eine unbefugte Verarbeitung darstellen.[59] Verarbeitet der Verantwortliche personenbezogene Daten ohne ausreichende Rechtsgrundlage (zB wenn kein Rechtfertigungstatbestand des Art 6 Abs 1 DSGVO gegeben ist), ist die Verarbeitung als unrechtmäßig zu qualifizieren.[60]