Praxistipp: Datenschutz im Griff: die Grundsätze der DSGVO nach Artikel 5

Team Datenschutz • 8. Februar 2019

Praxistipp Datenschutz 02|2019

Anders als früher ist die Verarbeitung personenbezogener Daten nicht mehr „verboten mit Erlaubnisvorbehalt“. Der Gesetzgeber geht vielmehr von der Tatsache der Verareitung aus – und schafft den rechtlichen Rahmen, um die Rechte und Freiheiten der Betroffenen zu schützen. Unter anderem, indem er Grundsätze definiert, die es bei der Verarbeitung personenbezogener Daten immer zu beachten gilt. Wer sie kennt und umsetzt, macht beim Datenschutz vieles richtig.


Praxisfall


Im Unternehmen wird eine neue Verarbeitungstätigkeit eingeführt: Beschäftigte im Homeoffice sollen zukünftig die Möglichkeit haben, vertrauliche Gespräche per Videokonferenz zu führen. Nun soll sichergestellt werden, dass die Vorgaben der DSGVO eingehalten werden und der Prozess dennoch möglichst unkompliziert eingeführt und umgesetzt wird. Ein klassischer Fall, um die Grundsätze des Datenschutzes zurate zu ziehen.



Gut zu wissen


„Wer die folgenden drei Bereiche der DSGVO beachtet, hat mehr als 80 % der Regeln für den Datenschutz im Griff und kann beim Datenschutz nicht mehr viel falsch machen.“ Dieser Satz löst bei Vorträgen ungläubiges Staunen aus und führt nicht selten dazu, dass man sich als Vortragender plötzlich einer Front von eilig gezückten Smartphones gegenübersieht. Der Grund: Die Zuhörenden wollen von den folgenden drei Folien nichts verpassen. Wenn Datenschutz tatsächlich so einfach sein könnte ...



Risiken – von der Untersuchung über Geldbußen bis zum Vollzug von Anordungen


Werden personenbezogene Daten in einer Weise verarbeitet, die den Vorgaben der DSGVO widerspricht, greifen die Aufsichtsbehörden ein. Um dies erfolgversprechend tun zu können, stehen eine ganze Reihe von Möglichkeiten bereit. Aufsichtsbehörden dürfen unter- suchen, Anweisungen geben, verwarnen, untersagen. Vom Anfordern von Informationen über datenschutzrechtliche Überprüfungen bis zur Durchsuchung der Geschäftsräume stehen ihnen damit – je nach Eskalationsstufe immer schärfer werdende – Werkzeuge zur Verfügung. Möglich sind natürlich auch die vielzitierten Geldbußen, quasi als letztes Mittel.



Wie ist denn eigentlich zu verarbeiten?


Nach dem alten Datenschutzrecht bis zum 24. Mai 2016 (Inkrafttreten) bzw. 24. Mai 2018 (Rechtsgültigkeit) wurde von einem Verbotsgesetz mit Erlaubnisvorbehalt gesprochen. Heute kann man natürlich auch sagen, dass es verboten sei, personenbezogene Daten außerhalb der Grundsätze nach Artikel 5 der DSGVO und der Anforderungen an die Recht- mäßigkeit zu verarbeiten. Der für das deutsche bzw. preußische Recht typische Begriff vom Verbot und der Erlaubnis trifft den Sachverhalt der DSGVO allerdings nur noch bedingt.



Die DSGVO geht von der Verarbeitung personenbezogener Daten aus


Dass das so ist, kann man Art. 1 der DSGVO entneh- men. Dort heißt es im ersten Absatz: „Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ Hier ist keine Rede mehr von einem Verbot der Verarbeitung personenbezogener Daten – im Gegenteil. Dass personenbezogene Daten verarbeitet werden, ist Fakt – basta. Dass gleichzeitig natürliche Personen geschützt werden sollen, ist hier die Grundlage. Bei der DSGVO handelt es sich also vielmehr um ein Schutzgesetz als ein Verbotsgesetz mit Erlaubnisvorbehalt. Dieser Schutz wird unter anderem in den Grundsät- zen zur Verarbeitung personenbezogener Daten sichergestellt. Daher sollen hier die Grundsätze zur Verarbeitung von personenbezogenen Daten näher betrachtet werden. Weitere Praxistipps werden die Grundsätze übrigens im Einzelnen vertiefen – ein Grund, sie nicht zu verpassen!


Die Grundsätze im Überblick: Die Grundsätze nach Artikel 5 sind in aller Kürze


  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit


Gleich im Anschluss regelt die DSGVO, dass Verantwortliche – das ist in der Regel die Geschäftsführung – für die Einhaltung der Grundsätze verantwortlich sind. Für alle Abläufe, in denen personenbezogene Daten verarbeitet werden, müssen sie nachweisen können, dass sie die Grundsätze einhalten. Sämtliche, ohne Ausnahme.



Prüfen und planen


Wie geht man dabei am besten vor? Erst den Prozess definieren oder erst die Grundsätze prüfen? Klare Antwort: Kommt drauf an. Für Prozesse, die bereits laufen, sind die Vorgaben aus Artikel 30 der DSGVO zu erfüllen. Darin schreibt der Gesetzgeber fest, welche Angaben zu einem Prozess im Verzeichnis der Verarbeitungstätigkeiten festzuhalten sind. Dabei ist zu prüfen, ob die Grundsätze der Datenverarbeitung laut DSGVO eingehalten werden. Für neue Prozesse ist empfehlenswert, schon in der Planungsphase zu prüfen, ob und wie die Grundsätze eingehalten werden können.



Und wenn nicht?


Was kann man tun, wenn einzelne Grundsätze nicht eingehalten werden können? Dann empfiehlt es sich, eine Datenschutz-Folgenabschätzung vorzunehmen, da dann die zentrale Bedingung des Artikel 35 der DSGVO eintritt. Können die Grundsätze nicht eingehalten werden (sprich, wenn die „Umstände der Verarbeitung“ zu einem höheren Risiko für die Rechte und Freiheiten natürlicher Personen führen), ist die Datenschutz- Folgenabschätzung durchzuführen. Möglicherweise können die Risiken durch geeignete technische und organisatorische Maßnahmen abgefedert werden, beispielsweise durch starke Verschlüsselung oder Pseudonymisierung, die nahe an eine Anonymisierung heranreicht. Dadurch kann es zu einer Neubewertung der Risiken kommen, die laut DSGVO in einem solchen Fall vorzunehmen ist. Sollten die Risiken weiterhin hoch sein, konsultiert der Verantwortliche die Aufsichtsbehörde




Hier gibts den Praxistipp als kostenlosen PDF-Download:

Zum Praxistipp
Mitarbeiter vor Bildschirmen

Neuer Termin für das Seminar „KI-Manager“

von Team Datenschutz 31. Januar 2026
Neuer Termin im März: Webinar „KI-Manager – nicht nur für Führungskräfte“. KI-Projekte sicher steuern, DSGVO, AI Act & ISO 42001 praxisnah erklärt.

24. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 23. Dezember 2025
Dieses emotionale Adventstürchen erzählt, wie ein einzelner Weihnachtsgruß eine Kette aus Herzensfreude auslöst – von der Straße über das Büro bis an die Supermarktkasse.

23. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 22. Dezember 2025
Dieses Adventstürchen zeigt, dass Datenschutz nicht nur aus Verboten besteht, sondern auch aus sinnvollen Empfehlungen.

22. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 21. Dezember 2025
Das 22. Adventstürchen erklärt praxisnah, worauf es bei der Informationspflicht zur Videoüberwachung ankommt – und warum Muster nur der Anfang sind.

21. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 20. Dezember 2025
Warum mobile Datenträger besondere Vorsicht erfordern und wie schnell aus Bequemlichkeit ein Datenschutzproblem entsteht.

20. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 19. Dezember 2025
Warum Datenschutz kein Showprogramm für Begehungen ist, sondern gelebter Alltag sein muss – für Sicherheit, Vertraulichkeit und Gesundheit.

19. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 18. Dezember 2025
Wie ein Mitarbeiter einen Sicherheitsvorfall verhindert und damit zum Weihnachtshelden wird.

18. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 17. Dezember 2025
Diese Adventsgeschichte zeigt, wie in einem Krankenhaus durch einfache Maßnahmen Patientendaten geschützt werden konnten und warum Datenschutzbeauftragte manchmal auch Werkzeug brauchen.

17. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 16. Dezember 2025
Dieses DATSIPrUse-Türchen erklärt, warum zu viele Berechtigungen ein Risiko sind, warum Gruppenrichtlinien wichtig sind und wie gemeinsame Ordnung digitale Sicherheit schafft.
Mehr anzeigen