8.3 Allgemeine Grundsätze der Datenverarbeitung
Auch bei einer aufgrund der Erfüllung der Voraussetzungen gemäß Art 6 bzw. Art 9 DSGVO rechtmäßigen Datenverarbeitung müssen die in Art 5 DSGVO genannten Grundsätze eingehalten werden:
-
Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
-
Grundsatz der Zweckbindung
-
Grundsatz der Datenminimierung
-
Grundsatz der Richtigkeit
-
Grundsatz der Speicherbegrenzung
-
Grundsatz der Integrität und Vertraulichkeit
-
Grundsatz der Rechenschaftspflicht
Der Rechtmäßigkeitsgrundsatz besagt, dass die Datenverarbeitung im Einklang sowohl mit der DSGVO als auch mit der Rechtsordnung an sich durchgeführt werden muss, um rechtmäßig zu sein.
Der Begriff „Treu und Glauben“ wird in der DSGVO nicht näher bestimmt und stammt ursprünglich aus dem anglo-amerikanischen Rechtsraum. Mit Blick auf die englische Sprachfassung der DSGVO („fairly“ bzw. „fairness“) wird klar, dass darunter ein Gebot einer fairen Datenverarbeitung zu verstehen ist. Im Wesentlichen besagt dieser Grundsatz, dass eine Datenverarbeitung im guten Glauben der Rechtmäßigkeit sowie auf redliche Weise erfolgen muss.
Der Grundsatz der Transparenz findet sich ausgeformt an mehreren Stellen in der DSGVO (z.B. Art 12, 13, 14, 34) und legt im Wesentlichen fest, dass die Datenverarbeitung für die betroffene Person in nachvollziehbarer – informierter – Weise erfolgen muss.
Das Datenschutzrecht ist von der Zweckbindung geprägt. Nach dem entsprechenden Grundsatz dürfen personenbezogene Daten nur für (vorab) festgelegte, eindeutige und legitime Zwecke (im Sinne von Verarbeitungsvorhaben) erhoben und verarbeitet werden. Eine Weiterverarbeitung zu anderen Zwecken ist in Ausnahmefällen und nur dann erlaubt, wenn diese mit dem ursprünglichen Zweck vereinbar sind.
Nach dem Grundsatz der Datenminimierung müssen die personenbezogenen Daten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Das bedeutet für die Praxis, dass nur jene personenbezogenen Daten der Förderwerber*innen/Fördernehmer*innen erhoben und verarbeitet werden dürfen, die für die Gewährung und Abwicklung der gegenständlichen Förderung unbedingt erforderlich sind. Es wäre somit beispielsweise bei der Förderung einer Photovoltaikanlage nicht zulässig, den Familienstand oder die Sozialversicherungsnummer zu erheben, weil deren Kenntnis für die gegenständliche Förderung nicht erforderlich ist.
Personenbezogene Daten müssen nach dem Grundsatz der Richtigkeit sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Um dies zu gewährleisten, müssen angemessene Maßnahmen getroffen werden, sodass unrichtige Daten entweder unverzüglich gelöscht oder berichtigt werden.
Eine zeitlich unbegrenzte Aufbewahrung von personenbezogenen Daten ist mit der DSGVO nur schwer vereinbar. Dementsprechend besagt der Grundsatz der Speicherbegrenzung, dass personenbezogene Daten nur solange aufbewahrt werden dürfen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Sofern eine gesetzliche Grundlage besteht, richtet sich die Aufbewahrungsdauer nach dieser. Bei allen anderen Datenverarbeitungen ist im Vorhinein und auch während der Aufbewahrung wiederholt zu prüfen, wie lange die personenbezogenen Daten für den festgelegten Zweck noch unbedingt benötigt werden.
Datensparsamere Alternativen zu personenbezogenen Daten, wie z.B. anonymisierte Daten, sind in jedem Falle vorzuziehen, falls diese für den beabsichtigten Zweck tauglich sind.
Nach dem Grundsatz der Integrität und Vertraulichkeit muss dafür Vorsorge getroffen werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist. Dementsprechend müssen Schutzmaßnahmen insbesondere gegen unbefugte oder unrechtmäßige Verarbeitung und gegen unbeabsichtigten Verlust, unbeabsichtigte Zerstörung oder unbeabsichtigte Schädigung vorgesehen werden.
Daneben besteht der zentrale Verhältnismäßigkeitsgrundsatz des § 1 Abs. 2 DSG. Demnach dürfen personenbezogene Daten auch im Falle zulässiger Beschränkungen des Grundrechts auf Datenschutz jeweils nur in der gelindesten, zum Ziel führenden Art verarbeitet werden.
Zu beachten ist, dass der datenschutzrechtliche Verantwortliche nachweisen können muss, dass die eben genannten Grundsätze eingehalten werden. Diese Verpflichtung wird Rechenschaftspflicht genannt. Auf welche Weise der Nachweis erfolgt, bleibt dem Verantwortlichen überlassen.
Nach dem im Zusammenhang stehenden Art 24 DSGVO sind hierfür geeignete technische und organisatorische Maßnahmen vorzusehen.