Nachdem in den letzten beiden Beiträgen schon das erste Grundprinzip des Datenschutzrechts, der Grundsatz des „Verbots mit Erlaubnisvorbehalt“ behandelt wurde, wird in diesem Artikel auf die weiteren Prinzipien des Datenschutzrechts eingegangen. Denn selbst wenn ein Erlaubnisgrund für die Verarbeitung von personenbezogenen Daten gegebene ist, sei es die Einwilligung des Betroffenen, ein berechtigtes Interesse des Verantwortlichen oder ein anderer der in der Verordnung genannten Gründe, darf ein Verantwortlicher dennoch nicht unbeschränkt Daten sammeln und verarbeiten. Er hat sich dabei an die Grundsätze für die Verarbeitung personenbezogener Daten zu halten, die in Art 5 EU-DSGVO zu finden sind und in den folgenden Beiträgen erklärt werden sollen.
Art 5 Abs 1 lit a: Rechtmäßigkeit, Verarbeitung nach Treu und Glaube, Transparenz
„Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbare Weise verarbeitet werden.“
Rechtmäßig ist eine Verarbeitung nur dann, wenn eine Einwilligung des Betroffenen vorliegt oder eine andere der in Artikel 6 EU-DSGVO normierten Bedingungen erfüllt ist. Dies ist immer die als Erstes zu prüfende Grundvoraussetzung jeder Datenverarbeitung.
Weiters muss eine Datenverarbeitung transparent sein. Dies ist allerdings keine wirkliche Neuerung, da das Transparenzgebot auch schon im aktuellen österreichischen Datenschutzrecht verankert ist. Es verpflichtet Verantwortliche bei der Erhebung von Daten dazu, die betroffene Person über den Zweck, den Umfang sowie über die künftige weitere Verwendung seiner Daten zu informieren. Erwägungsgrund 39 geht diesbezüglich noch etwas mehr ins Detail und schreibt vor, dass alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abzufassen sind. Dies gilt insbesondere für Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung. Außerdem muss über das Recht der Betroffenen informiert werden, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende Daten verarbeitet werden und wie dieses Recht geltend gemacht werden kann.
Wann Daten nach Treu und Glaube verarbeitet werden, wird im EU-DSGVO nicht weiter definiert. Der österreichische Verwaltungsgerichtshof definierte diesen Grundsatz in seiner Entscheidung VwGH 15.3.2001, 2001/16/0063 einst so, dass jeder, der am Rechtsleben teilnimmt, zu seinem Verhalten zu stehen hat und sich nicht ohne triftigen Grund in Widerspruch zu dem setzen darf, was er früher vertreten hat und worauf andere vertraut haben. Es werden jedoch die ersten Entscheidungen zur EU-DSGVO abzuwarten sein, um beurteilen zu können, wie dieser Grundsatz im datenschutzrechtlichen Kontext zu sehen ist und welche Pflichten damit einher gehen.
Der nächste Beitrag wird sich um den Grundsatz der Zweckbindung drehen.
