Artikel 5 EU-DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten

  1. Personenbezogene Daten müssen

    a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

    b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

    c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

    d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

    e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

    f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

  2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Kommentar zu Artikel 5 EU-DSGVO

Was sagt Art. 5 DSGVO aus?
 

Art. 5 DSGVO gibt in zwei Absätzen richtungsweisende Leitpunkte für die Verarbeitung personenbezogener Daten vor.

Nach Absatz 1 sind personenbezogene Daten rechtmäßig, transparent und unter Beachtung von Treu und Glauben zu verarbeiten. Weiterhin dürfen sie nur für festgelegte, eindeutige sowie legitime Zwecke erhoben werden. Die Verarbeitung von Daten unterliegt einer Zweckbindung, das betrifft auch die Weiterverarbeitung. Nach dem Prinzip der Datenminimierung ist die Datenverarbeitung auf das notwendige Maß zu beschränken. Der Grundsatz der Richtigkeit erfordert, dass personenbezogene Daten sachlich richtig und aktuell sein müssen. In zeitlicher Hinsicht gibt es eine Speicherbegrenzung für den Zeitraum, für den die entsprechenden personenbezogenen Daten im Hinblick auf den Zweck der Datenverarbeitung benötigt werden.

Schließlich gelten auch die Grundsätze der Integrität und Vertraulichkeit im Hinblick auf die Datenverarbeitung, was geeignete technische und organisatorische Maßnahmen umfasst, die die verarbeiteten Daten vor Verlust, unrechtmäßiger Verarbeitung, vor Zerstörung oder Schädigung schützen sollen.

Absatz 2 verpflichtet den Verantwortlichen zur Rechenschaft über die Einhaltung der Bedingungen aus Absatz 1.

Wichtig ist, dass die Datenverarbeitung zu wissenschaftlichen und historischen Zwecken von der Geltung der meisten Grundsätze des Art. 5 DSGVO ausgenommen wird.

Wie ist Art. 5 DSGVO zu verstehen?
 

Art. 5 DSGVO verbindet bereits bekannte Grundsätze der Datenverarbeitung, die man bisher unter dem Stichwort "Datensparsamkeit" zusammengefasst hat, mit neuen, auslegungsbedürftigen Grundsatzdefinitionen, die teilweise in den folgenden Artikeln konkretisiert werden.

Welche Folgen ergeben sich aus Art. 5 DSGVO?
 

Auf den auf den ersten Blick klingt die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO einfach. Allerdings setzt an dieser Vorschrift eine der wesentlichen Vorgaben für eine dokumentierte Datenschutz-Compliance an. Es ist unter anderem Art. 5 DSGVO, der Unternehmen im Rahmen der DSGVO zur Einführung von Datenschutz-Managementsystemen und sehr konkret definierten Verantwortlichkeiten im Rahmen der datenschutzrechtlichen Pflichtenkreise zwingt. Aus unternehmerischer Sicht ist diese Verpflichtung deshalb schwer einzuschätzen, weil Erfahrungswerte im Umgang mit der Rechenschaftspflicht noch nicht vorliegen. Denken Sie in diesem Kontext an das von uns angebotene Datenschutzaudit, um mit uns gemeinsam ein tragfähiges Datenschutzkonzept für Ihr Unternehmen zu entwickeln.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr