Welcher Grundsatz prägt das Datenschutzrecht

Seit 25. Mai 2018 gilt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – die Datenschutz-Grundverordnung. Sie ist ohne Zweifel eine der wichtigsten Rechtsquellen des Datenschutzes in allen Mitgliedsstaaten der EU.

Die Datenschutz-Grundverordnung unterscheidet nicht mehr zwischen der Verarbeitung personenbezogener Daten durch einen öffentlichen oder einen nicht-öffentlichen Verantwortlichen. Die in ihr geregelten Pflichten gelten vielmehr für alle Verantwortlichen gleichermaßen. Nicht nur für die Privatwirtschaft ist die Datenschutz-Grundverordnung daher relevant. Auch die öffentliche Verwaltung hat ihr Handeln an den Vorgaben der Datenschutz-Grundverordnung auszurichten. Hierzu gehört auch, dass sowohl die vorhandenen als auch die künftig zu erlassenen datenschutzrechtlichen Regelungen mit der Datenschutz-Grundverordnung in Einklang stehen müssen. Dies betrifft sowohl die innerbehördlichen Regelungen als auch diejenigen, die gegenüber dem Bürger z. B. in Gesetzen, Verordnungen oder Satzungen erlassen wurden bzw. werden.

Was ist zu tun?

Nachfolgend sind die wichtigsten Handlungserfordernisse für einen erfolgreichen Start mit der Datenschutz-Grundverordnung zusammengestellt.

Das Datenschutzrecht prägt mittlerweile mehr und mehr unseren Alltag, indem wir in vielen Lebenssituationen – gefühlt mehr als früher – damit konfrontiert werden. Man denke nur an den Besuch verschiedener Webseiten nach Inkrafttreten der Datenschutzgrundverordnung im Mai des Jahres 2018 – Stichwort Cookiehinweis -, man denke auch an die zahlreichen Einwilligungserklärungen zum Datenschutzrecht, mit denen man entweder per E-Mail, in Schulen, Kindertageseinrichtungen, bei Banken oder auch Apotheken in den verschiedensten Varianten konfrontiert wird.

Die am 25.05.2018 in Kraft getretene Datenschutzgrundverordnung hat hierbei insgesamt die Sensibilität von Unternehmen und auch damit einhergehend von Verbrauchern spürbar erhöht.

Das seltsame daran ist, dass in den wesentlichen Grundzügen auch bereits vor Inkrafttreten der Datenschutzgrundverordnung ähnliche und gleiche Rechte und Pflichten von Unternehmen bestanden. Jedoch hat anscheinend erst die Datenschutzgrundverordnung, ggfs. auch aus Gründen der hohen Straferwartung bei Nichteinhaltung der Datenschutzgrundsätze, dazu beigetragen, dass sich die Verantwortlichen mehr und mehr mit dem Datenschutz beschäftigen und Unternehmen sich insbesondere dazu veranlasst sehen, die datenschutzrechtlichen Grundsätze auch in ihren Unternehmen zu verwirklichen und zu leben.

Doch was sind eigentlich die Grundsätze des Datenschutzrechts?

Die Grundsätze des Datenschutzrechts veranschaulichen, wofür der Datenschutz gedacht ist, warum er so wichtig ist, und auf welche Verhaltensweisen bei dem Umgang mit personenbezogenen Daten durch den Gesetzgeber Wert gelegt wird. Die Grundsätze für die Verarbeitung von personenbezogenen Daten finden sich in Art. 5 der DSGVO wieder.

Hierzu auszugsweise im Einzelnen wie folgt:

Grundsatz der Transparenz und der rechtmäßigen Erhebung

In Art. 5 Abs. 1 a DSGVO wird der Grundsatz der Transparenz der Rechtmäßigkeit der Erhebung als erster Grundsatz für die Bearbeitung von personenbezogenen Daten hervorgehoben. Dieser Grundsatz nimmt direkten Bezug auf einen weiteren Grundsatz der Rechtmäßigkeit der Datenverarbeitung, wonach grundsätzlich die Verarbeitung von personenbezogenen Daten nur dann erlaubt ist, wenn die betroffene Person ausdrücklich in die entsprechende Verarbeitung eingewilligt hat oder einer der anderen Erlaubnistatbestände vorliegt. Insofern gilt der Grundsatz, wie bereits auch schon im Bundesdatenschutzgesetz, dass nur dann eine Bearbeitung von Daten erlaubt ist, wenn das Gesetz diese Form der Verarbeitung ausdrücklich als rechtmäßig beurteilt oder eine Einwilligung des Betroffenen gegeben ist.Gleichzeitig wird in Art. 5 Abs. 1 a DSGVO der Grundsatz der Transparenz hervorgehoben. Dieser geht einher mit dem Erfordernis, dass jeder Betroffene, bei dem personenbezogene Daten erhoben werden, einen Anspruch darauf hat, zu wissen, um welche Daten es sich hierbei handelt.

 Grundsatz der Zweckbindung

In Art. 5 Abs. 1 b DSGVO wird der Grundsatz der sogenannten Zweckbindung festgelegt. Danach dürfen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und weiterverarbeitet werden. Der Grundsatz der Zweckbindung beabsichtigt Wirkungen gleich in zweierlei Richtungen. Einerseits soll dem Verantwortlichen (dem „Datenverarbeiter“) vor Augen geführt werden, für welchen Zweck er denn genau die entsprechenden Daten überhaupt erhebt. Unnötige Zwecke sollen hierbei von vorneherein ausscheiden. Insofern kann man vereinfacht sagen, dass die Zweckbindung, die der Unternehmer selbst beispielsweise in einem Verarbeitungsverzeichnis niederlegen muss, den Zweck erfüllen soll, dass er sich über den Grund der Datenerhebung im Klaren ist. Andererseits soll es dem von der Datenerhebung Betroffenen genau vor Augen führen, aus welchem Grund die über ihn existierenden Daten beim Unternehmer überhaupt erhoben werden.

Grundsatz der Datenminimierung

Art. 5 Abs. 1 c DSGVO statuiert den Grundsatz der sogenannten Datenminimierung. Dieser geht ebenfalls gedanklich einher mit dem Grundsatz der Zweckbindung, wonach für den in den sachlichen Anwendungsbereich der DSGVO fallenden Unternehmer klargemacht werden soll, dass er peinlichst darauf zu achten hat, so wenig Daten wie nötig vom Betroffenen zu erheben.

Grundsatz der Richtigkeit

Ein weitere nicht zu unterschätzender Aspekt ist der sogenannte Grundsatz der Richtigkeit. Danach muss sichergestellt werden, dass die erhobenen Daten sachlich richtig und insbesondere auf den neusten Stand sind. Auch dieses Erfordernis ist für Unternehmen sicherlich nicht immer leicht umzusetzen.

Grundsatz der Speicherbegrenzung

In Art. 5 Abs. 1 e DSGVO ist der sogenannte Grundsatz der Speicherbegrenzung geregelt. Dieser soll gewährleisten, dass grundsätzlich rechtmäßig erhobene Daten nur für einen solchen Zeitraum beim Verantwortlichen gespeichert werden, für welchen er diese auch nur benötigt. Auch hierdurch soll dem Betroffenen im Hinblick auf seine Daten größtmöglicher Schutz zugesprochen werden.

Grundsatz der Integrität und Vertraulichkeit

Des Weiteren ist der Verantwortliche dazu verpflichtet, die ihm übermittelten Daten so sicher wie möglich gegen Zugriff von Dritte zu schützen.

Rechtsfolgen bei Verstößen

Art. 83 DSGVO sieht einen umfangreichen Sanktionskatalog für den Fall von Verstößen bereits gegen diese allgemeinen Grundsätze vor. Es handelt sich daher bei den Grundsätzen nicht um ein rein dogmatisches, dem Gesetz vorangestelltes, Maximenwerk, sondern schlicht und ergreifend um einzuhaltende Vorschriften. Art. 83 Abs. 5 DSGVO sieht hierbei vor, dass im Falle des Verstoßes gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Art. 5, 6, 7 und 9 der Verordnung eine Geldbuße von bis zu 20.000.000,00 EUR verhängt werden kann. Die datenschutzrechtliche Umsetzung der Verordnung vorangestellten Grundsätze wird sodann im weiteren Verlauf der Datenschutzgrundverordnung weiter konkretisiert.

Was können wir für Sie tun?

Dem Laien dürfte es jedoch unmöglich sein, hier alleine den Überblick zu behalten. Wir als Fachanwaltskanzlei für IT-Recht bieten Ihnen hierbei die passende und richtige Hilfe an. Wir erstellen für Sie und Ihr Unternehmen, unabhängig von der Größe, Ihre datenschutzrechtliche Compliance oder überprüfen gern einzelne Vorgänge auf Ihre datenschutzrechtliche Rechtmäßigkeit. Setzen Sie sich daher gern bei Fragen zum Datenschutz mit uns unverbindlich in Verbindung. Rufen Sie uns an, senden Sie uns eine E-Mail oder schicken uns ein Fax.

Für Fragen wenden Sie sich bitte telefonisch an unsere Kanzlei oder schreiben Sie uns eine Nachricht. Auf Wunsch rufen wir Sie auch zurück.

Werden personenbezogene Daten verarbeitet, muss diese Verarbeitung stets rechtmäßig sein und darf nur auf bestimmte Art und Weise erfolgen. Ein datenschutzkonformer Umgang mit Daten ist daher nur gewährleistet, wenn die in der DSGVO genannten speziellen Datenschutzgrundsätze eingehalten werden. Um welche wichtigen Grundsätze es sich hierbei handelt und welche rechtliche Stellung sie einnehmen, zeigt der folgende Beitrag.

Entstehungsgeschichte der Datenschutzgrundsätze

Bereits das Bundesverfassungsgericht hatte 1983 bestimmte Bedingungen, wie die Transparenz, Zweckbegrenzung und Erforderlichkeit in seinem Volkszählungsurteil festgelegt. Nur unter Einhaltung dieser Bedingungen sollten Einschränkungen und Eingriffe in das Recht auf informationelle Selbstbestimmung des Einzelnen gerechtfertigt sein.

In das deutsche Datenschutzrecht wurde eine solche Liste von Grundsätzen zwar nicht übernommen, diente jedoch zumindest als Auslegungshilfe der Datenschutzgesetze.

Auch die Datenschutz-RL (RL 46/95/EG) enthielt in Art. 6 bereits eine Liste spezieller Qualitätsgrundsätze. Diese Vorschrift zählte bereits einige der in der DSGVO genannten Grundsätze, wie bspw. Treu und Glauben, Richtigkeit und Speicherbegrenzung auf und verwies in ihrem zweiten Absatz auf den Verantwortlichen, der für die Einhaltung der Grundsätze Sorge zu tragen hat.

Daneben führte auch die Grundrechtecharta seit 2009 die wichtigsten Datenschutzgrundsätze auf, welche 2016 in die DSGVO übertragen wurden. Zusätzlich wurde der Grundsatz der Verantwortung aus der Datenschutz-RL in die DSGVO überführt.

In einer Gesamtschau kann daher allein die Rechenschaftspflicht als neuer Grundsatz bezeichnet werden, obwohl auch dieser sich bereits aus der in der Datenschutz-RL beschriebenen Sorgfaltspflicht des Verantwortlichen ableiten ließ.

Welche Grundsätze gibt es für die Verarbeitung personenbezogener Daten?

Wer personenbezogene Daten verarbeitet, muss nicht nur die wichtigsten Grundsätze der DSGVO befolgen, sondern muss deren Einhaltung im Zweifel auch auf Anfrage der Aufsichtsbehörde nachweisen können. Im Folgenden daher zunächst ein Überblick, welche Datenschutzgrundsätze Art. 5 DSGVO überhaupt vorschreibt und was die jeweiligen Grundsätze bedeuten:

  • Datenminimierung
    Personenbezogene Daten müssen gemäß Art. 5 Abs. 1 lit. c) DSGVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden (= Grundsatz der Datenminimierung).
  • Zweckbindung
    Der Grundsatz der Zweckbindung wird in Art. 5 Abs. 1 lit. b) DSGVO näher beschrieben. Die Zwecke der Datenverarbeitung müssen dabei bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein. Eine Weiterverarbeitung zu anderen Zwecken ist gleichwohl möglich, sofern die Zwecke der Weiterverarbeitung nicht mit den ursprünglichen Erhebungszwecken unvereinbar sind und eine Rechtsgrundlage hierfür vorliegt.
  • Transparenz
    Der Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a) DSGVO soll insbesondere gewährleisten, dass die betroffene Person im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen kann. In Art. 12 ff. DSGVO wird der Grundsatz der Transparenz etwa durch Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person weiter präzisiert. Auch der Datenschutz durch Technik (Data protection by design) und datenschutzfreundliche Voreinstellungen (Data protection by default) sollen Transparenz gewährleisten (vgl. Art. 25 DSGVO, Erwägungsgrund 78). Hinzu kommen Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen (vgl. Art. 42 f. DSGVO, Erwägungsgrund 100).
  • Richtigkeit
    Interessant ist auch der Grundsatz in Art. 5 Abs. 1 lit. d) DSGVO, wonach personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht (vgl. etwa Art. 17 Abs. 1 lit. d) DSGVO) oder berichtigt (Art. 16 DSGVO) werden.
  • Speicherbegrenzung
    Nach der in Art. 5 Abs. 1 lit. e) DSGVO normierten Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck also nicht mehr erforderlich ist, so müssen die personenbezogenen Daten gelöscht (Art. 17 Abs. 1 lit. a) DSGVO) oder die Identifizierung der betroffenen Person aufgehoben werden. Ausnahmen ergeben sich bspw. für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke.
  • Rechenschaftspflicht
    Der Verantwortliche muss nach Art. 5 Abs. 2 DSGVO außerdem nachweisen können, dass er die dort genannten Datenschutzgrundsätze auch einhält. Dies bedeutet, dass der Verantwortliche auf Nachfragen der Aufsichtsbehörde in der Lage sein muss, die DSGVO-Konformität überzeigend belegen zu können.
  • Integrität & Vertraulichkeit
    Schließlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen, die insbesondere in Art. 32 DSGVO konkretisiert werden.
  • Rechtmäßigkeit
    Die Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a) DSGVO wird grundsätzlich in Art. 6 DSGVO näher konkretisiert. Die Verarbeitung von personenbezogenen Daten ist demnach rechtmäßig, wenn eine der in Art. 6 Abs. 1 lit. a) bis lit. f) DSGVO genannten Voraussetzungen vorliegt.
  • Treu und Glauben
    Die Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a) DSGVO ist rechtlich schwerer zu fassen und lässt sich im Allgemeinen nur am konkreten Einzelfall unter Berücksichtigung aller Umstände beurteilen. Hierbei geht es meist um die Frage, ob ein bestimmtes Verhalten als redlich bzw. anständig angesehen werden kann.

Welche rechtliche Stellung haben die Datenschutzgrundsätze?

Die Datenschutzgrundsätze haben eine übergeordnete Stellung, in dem sie nicht nur für sich selbst stehen und verbindlichen Charakter haben, sondern auch als Auslegungshilfe der anderen Vorschriften der DSGVO dienen. Genau genommen sind demnach auch alle anderen Artikel der DSGVO im Lichte der Grundsätze zu betrachten. Dennoch bedürfen die Grundsätze selbst teilweise einer Konkretisierung. So wird bspw. der Grundsatz der Transparenz durch Art. 13, 14 und 15 DSGVO näher konkretisiert und der Richtigkeitsgrundsatz wird durch das Recht auf Berichtigung näher ausgefüllt. Überdies wird der Grundsatz der Vertraulichkeit und Integrität in Art. 32 Abs. 1 S.2 lit. b) und Art. 28  Abs. 3 S. 2 lit b) DSGVO ebenfalls aufgegriffen.

Um den Ansprüchen der Datenschutzgrundsätze gerecht zu werden, sind somit auch die anderen Regelungen der DSGVO zu berücksichtigen. Eine sorgfältige Handhabung und Umsetzung der Grundsätze sind somit wichtig, gerade um Bußgelder zu vermeiden.

Risikobasierter Ansatz bei den Datenschutzgrundsätzen

Was ist der risikobasierte Ansatz?

In der DSGVO findet sich zwar keine Definition des risikobasierten Ansatzes jedoch findet man an mehreren Stellen Hinweise zum Inhalt des Risikobegriffs. So zeigt auch die DSK in ihrem Kurzpapier Nr. 18 ein Beispiel für eine mögliche Definition auf:

„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“

Ebenfalls verweist Art. 24 DSGVO darauf, dass der Verantwortliche sowohl die Eintrittswahrscheinlichkeit als auch die Schwere von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung beachten muss. Die Handhabung der Risikobewertung hierzu ist nochmals in Erwägungsgrund 76 dargestellt. Des Weiteren können Beispiele zu den Risiken, welchen Betroffene durch die Datenverarbeitung ausgesetzt sein können, aus den Erwägungsgründen 75 entnommen werden.

Greift der risikobasierte Ansatz bei den Datenschutzgrundsätzen?

Inwieweit dieser risikobasierte Ansatz jedoch auch auf die Datenschutzgrundsätze Anwendung findet oder diese beeinflusst, ist bis heute umstritten. Jedoch wäre es beinahe töricht zu behaupten diese hätten gar keinen Einfluss auf die Datenschutzgrundsätze. Auch wenn der risikobasierte Ansatz nicht direkt in Art. 5 normiert wurde und auch systematisch betrachtet erst in den Normen nach Art. 5 DSGVO integriert ist, sollte dieser bei der Verarbeitung personenbezogener Daten stets Berücksichtigung finden. Dies ergibt sich schon daraus, dass der Ansatz ebenfalls ein wichtiges Grundprinzip der DSGVO darstellt und an mehreren Stellen das Risiko für die Rechte und Freiheiten der Betroffenen aufgegriffen wird.

Können die Grundsätze für die Verarbeitung personenbezogener Daten eingeschränkt werden?

Die Grundsätze für die Verarbeitung personenbezogener Daten können nicht im Rahmen einer bloßen Abwägung zugunsten des Verantwortlichen eingeschränkt werden. Allerdings sind entsprechende Ausnahmen in der DSGVO explizit geregelt. So heißt es in der Öffnungsklausel des Art. 23 DSGVO, dass Art. 5 DSGVO im Wege von Gesetzgebungsmaßnahmen beschränkt werden kann, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die schützenswerte Güter, wie bspw. die nationale Sicherheit, die öffentliche Sicherheit oder den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen gewährleistet.

Der deutsche Gesetzgeber bediente sich der Öffnungsklausel und hat sowohl Beschränkungen hinsichtlich des Zweckbindungsgrundsatzes, in §§ 4, 23, 24 und 32 bis 36 BDSG, als auch bzgl. der Betroffenenrechte im BDSG geregelt.

Was droht bei einem Verstoß gegen die Datenschutzgrundsätze?

Die Nichteinhaltung der Datenschutzgrundsätze kann unangenehme Folgen haben. Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten können ein Bußgeld von bis zu 20.000.000 € oder – im Falle eines Unternehmens – von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sowie Maßnahmen der Aufsichtsbehörde nach sich ziehen (Art. 83 Abs. 5 lit. a) DSGVO).

Bereits verhängte Bußgelder für Verstöße gegen die Datenschutzgrundsätze

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) verhängte Anfang 2021 ein Bußgeld in Höhe von 300.000 € gegen die VfB Stuttgart 1893 AG. Grund hierfür war die fahrlässige Verletzung der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Die maßgebliche Verletzung des VfB lag in der Einbeziehung eines externen Dienstleisters, mit welchem kein nach Art. 28 DSGVO vorgeschriebener Auftragsverarbeitungsvertrag geschlossen wurde. Des Weiteren konnte mangels entsprechender Dokumentation auch eine vom LfDI BW angeforderte E-Mail nicht zu Nachweiszwecken vorgelegt werden. Letztlich fasste der LfDI BW diese Verletzungen als eine Verletzung des Grundsatzes der Rechenschaftspflicht zusammen und sah von der Verhängung eines noch höheren Bußgelds nur aufgrund der ausgeprägten Kooperationsbereitschaft des VfB ab.

In einem anderen Fall verhängte der Berliner Beauftragte für Datenschutz ein Bußgeld gegen die Deutsche Wohnen SE von insgesamt 14,5 Millionen Euro. Hintergrund war, dass Mieterdaten in einem Archivsystem, ohne Löschmöglichkeit gespeichert waren. Demnach wurden Mieterdaten, wie Gehaltsbescheinigungen und Kontoauszüge, teilweise noch Jahre nach Beendigung des Mietverhältnisses gespeichert. Hierin sah die Aufsichtsbehörde neben der Verletzung der Pflicht zum Datenschutz durch Technikgestaltung (Privacy by design) auch einen Verstoß gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO.

An diesen beiden Beispielen erkennt man unschwer die Bedeutung und Gewichtung, die die Aufsichtsbehörden den Datenschutzgrundsätzen beimessen und welche empfindlichen Sanktionen bei einer Missachtung der Grundsätze drohen.

Probleme mit dem Bestimmtheitsgrundsatz

Die Datenschutzgrundsätze des Art. 5 DSGVO sind teilweise sehr weit gefasst. Folglich müssen sie durch zusätzliche Vorschriften aus der DSGVO erst näher konkretisiert werden, um dem gebotenen Datenschutzniveau der DSGVO gerecht zu werden. Dies stellt nicht nur eine Herausforderung für den Verantwortlichen dar, sondern wirft auch Zweifel hinsichtlich der Bestimmtheit auf. Nach deutschem Verfassungsrecht als auch nach dem Unionsrecht gilt das strafrechtliche Bestimmtheitsgebot, welches auch für Bußgeldtatbestände herangezogen wird. Demnach kann jemand nur für eine Handlung oder ein Unterlassen mit einem Bußgeld bestraft werden, wenn aus der Vorschrift, gegen die verstoßen wurde, auch bestimmt genug hervorgeht, welche Handlung oder welche Art von Unterlassen überhaupt bußgeldbewährte Konsequenzen nach sich zieht. Unter Heranziehung dieser Überlegungen könnte man Art. 83 Abs. 5 lit. a) DSGVO somit als zu unbestimmt einstufen. Hierauf kann man sich jedoch nicht ausruhen, denn der EUGH stellt darauf ab, dass es genügt, wenn der Verantwortliche im Zweifel durch Auslegung erkennt, welche Handlung oder welches Unterlassen ein Bußgeld begründet.

Erst eine zunehmende Rechtsprechung zu dieser Thematik wird hier wohl in Zukunft mehr Klarheit ins Dunkel bringen. Bis dahin sind Verantwortliche jedoch gehalten Ihren Rechenschaftspflichten in angemessenem Umfang nachzukommen, um einem Verstoß der Datenschutzgrundsätze vorzubeugen und die Aufsichtsbehörden mit einer ordentlichen Dokumentation zu besänftigen.

Datenschutzgrundsätze als Herzstück der DSGVO

Wir haben gesehen, wie wichtig die Einhaltung und Beachtung der Datenschutzgrundsätze ist und dass diese sich nicht nur namentlich in Art. 5 der DSGVO wiederfinden, sondern letztlich mit allen Regelungen der DSGVO verwoben sind. Ihren hohen Stellenwert erkennt man nicht zuletzt an der Höhe der Bußgelder, die bei Verstößen gegen die Grundsätze bereits verhängt wurden. Auch wenn die Bestimmtheit der Normen fragwürdig ist, hindert dies die Aufsichtsbehörden bisher nicht an der Verhängung von Bußgeldern. Demnach sollten Verantwortliche die Grundsätze einhalten und umsetzen und gerade dem Grundsatz der Rechenschaftspflicht ein hohes Gewicht beimessen. Denn auch die beste Umsetzung der Grundsätze bringt nichts, wenn nicht angemessen dokumentiert wird und der Behörde am Ende kein Nachweis erbracht werden kann.