A. Gesetzeswortlaut von Art. 5 DSGVO

Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer
Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

B. Inhaltsverzeichnis
Klicken Sie im Inhaltsverzeichnis auf die Überschriften, um direkt zu den jeweiligen Abschnitten zu gelangen!

I.  Allgemeines

II. Einzelne Grundsätze

1. Rechtmäßigkeit, Treu und Glauben, Transparenz
2. Zweck
3. Beschränkung auf das Notwendige
4. Richtigkeit
5. Speicherung
6. Vertraulichkeit

III. Rechenschaftspflicht des Verantwortlichen

C. Literatur

I.  Allgemeines

Art. 5 der DSGVO statuiert die allgemeinen Grundsätze, die bei der Verarbeitung von personenbezogenen Daten beachtet und befolgt werden müssen. Diese übergeordneten Prinzipien bilden das Grundgerüst für die folgenden Vorschriften und werden dort ggf. näher konkretisiert. Im bis dahin geltenden BDSG waren diese Grundsätze nicht geordnet niedergelegt, sondern fanden sich über mehrere Vorschriften verteilt oder lediglich „zwischen den Zeilen“ wieder. An den entsprechenden Stellen wird darauf hingewiesen.

Es handelt sich im Übrigen bei den in Art. 5 niedergelegten Grundsätzen um mehr als reine Strukturprinzipien, denn sie haben auch Regelungscharakter. Verstöße gegen Art. 5 werden gemäß Art. 83 Abs. 5 a) mit Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet.

Aufgrund dieser empfindlichen Folgen ist es notwendig, die allgemein und abstrakt gehaltenen Prinzipien möglichst genau zu umreißen.

II. Einzelne Grundsätze

Art. 5 teilt die Grundsätze für die Datenverarbeitung in mehrere Schlagworte auf, welche nachfolgend im Einzelnen erörtert werden.

1. Rechtmäßigkeit, Treu und Glauben, Transparenz

Art. 5 Abs. 1.a) nennt gleich drei Prinzipien, die bei der Verarbeitung personenbezogener Daten beachtet werden sollen:

a. Rechtmäßigkeit

Personenbezogene Daten müssen zunächst auf „rechtmäßige“ Weise verarbeitet werden, d.h. es muss eine Rechtsgrundlage dafür vorhanden sein. Ohne einen Erlaubnistatbestand oder eine Einwilligung des Betroffenen sind Datenverarbeitungen personenbezogener Daten per se rechtswidrig. Dies war bereits im bis dahin geltenden BDSG ausdrücklich auf diese Weise geregelt, so dass die Verarbeitung von personenbezogenen Daten immer als „Verbot mit Erlaubnisvorbehalt“ definiert war.

§ 4 BDSG lautete:

Das BDSG stellte damit in § 4 Abs. 1 ausdrücklich auf erlaubende/anordnende Gesetze oder Rechtsvorschriften oder eine Einwilligung des Betroffenen für die Rechtmäßigkeit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ab.

Dabei ist zu beachten, dass gesetzliche Erlaubnis und Einwilligungen von Betroffenen zwar auf der gleichen Stufe stehen, jedoch nicht frei austauschbar sind. Greift die verarbeitende Stelle auf ein Gesetz oder eine Rechtsvorschrift zurück, kann nicht gleichzeitig nach Belieben eine Einwilligung angefordert werden. Dies würde dem Betroffenen den Eindruck vermitteln, dass er eine Wahl habe und die Einwilligung auch verweigern könne. Werde dann auf die gesetzliche Erlaubnis zurückgegriffen, könne von einer Täuschung des Betroffenen ausgegangen werden (vgl. Simitis, Bundesdatenschutzgesetz, 8. Auflage 2014, § 4, Rn. 6).

b. Treu und Glauben

Des Weiteren soll die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1.a) nach Treu und Glauben vorgenommen werden. Dabei ist der Begriff „Treu und Glauben“ im Kontext des Europarechts auszulegen und nicht mit § 242 BGB gleichzusetzen. § 242 BGB hat im deutschen Recht einen durch reichhaltige Literatur und Rechtsprechung definierten Bedeutungsgehalt, der nicht ohne Weiteres auf die europäische Ebene übertragen werden kann (vgl. Herbst in Kühling/Buchner, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 5, Rn. 13). Des Weiteren ist der Begriff im deutschen Recht auf den privaten Rechtsverkehr zwischen Bürgern geprägt und kann nicht auf das Verhältnis des Bürgers zum Staat übertragen werden (vgl. Paal/Pauly, Datenschutz-Grundverordnung, 1. Aufl. 2017, § 5, Rn. 19). Die englische Sprachfassung des DSGVO bedient sich des Begriffs „fairly“, was mit dem auch im Deutschen gebräuchlichen Begriff – wenn auch ebenso unbestimmt – „fair“ weniger missverständlich sein könnte.

Eine positive Defintion des sehr allgemeinen Rechtsbegriffs „Treu und Glauben“ in Art. 5 ist aus o.g. Gründen schwierig, so dass häufig über negative Fallgruppen abgegrenzt wird, welche Verhaltensweisen nicht (mehr) dem Prinzip von Treu und Glauben entsprechen sollen (vgl. Gola, DSGVO/Pötters DSGVO, Art. 5 Rn. 8).

Datenverarbeitungen, die gegen Treu und Glauben verstoßen, können z.B. in einer heimlichen Verarbeitung ohne Wissen des Betroffenen bestehen, oder es könnten Daten, heimlich erhoben wurden, genutzt werden. Auch eine Datenverarbeitung, die keinem bestimmten Zweck dient oder zweckentfremdet wird, kann hierunter fallen.

Zu einer verdeckten Ermittlung hat das VG Karlsruhe entschieden (VG Karlsruhe, Urteil vom 26.08.2015, Az. 4 K 2113/11):

„a. Gem. § 22 Abs. 3 PolG kann der Polizeivollzugsdienst personenbezogene Daten von dem nachfolgend genannten Personenkreis u.a. durch den Einsatz Verdeckter Ermittler (§ 22 Abs. 1 Nr. 4 PolG) erheben, wenn andernfalls die Wahrnehmung seiner Aufgaben gefährdet oder erheblich erschwert würde. Daten können über die in § 20 Abs. 2 PolG genannten Personen erhoben werden, wenn der Einsatz zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leben, Gesundheit und Freiheit einer Person oder für bedeutende fremde Sach- und Vermögenswerte (§ 22 Abs. 3 Nr. 1 PolG) erfolgt. Von den in § 20 Abs. 3 Nr. 1 und 2 PolG genannten Personen können Daten zur vorbeugenden Bekämpfung von Straftaten mit erheblicher Bedeutung erhoben werden (§ 22 Abs. 3 Nr. 2 PolG). In § 20 Abs. 5 PolG sind Straftaten mit erheblicher Bedeutung definiert: Dabei handelt es sich zum einen um Verbrechen (§ 20 Abs. 5 Nr. 1 PolG), zum anderen um Vergehen, die im Einzelfall nach Art und Schwere geeignet sind, den Rechtsfrieden besonders zu stören (§ 20 Abs. 5 Nr. 2 PolG), soweit sie a) sich gegen das Leben, die Gesundheit oder die Freiheit einer oder mehrerer Personen oder bedeutende fremde Sach- oder Vermögenswerte richten, b) auf den Gebieten des unerlaubten Waffen- oder Betäubungsmittelverkehrs, der Geld- oder Wertzeichenfälschung oder des Staatsschutzes (§§ 74 a und 120 GVG) begangen werden, c) gewerbs-, gewohnheits-, serien-, bandenmäßig oder sonst organisiert begangen werden.

Das Gericht vermag nicht davon auszugehen, dass die Einsatzanordnung vom 25.02.2010 und deren Verlängerungen auch die Datenerhebung über den Kläger erfasste. Dies wurde vom Beklagten auch nicht behauptet. Aus den vom Beklagten vorgelegten Kopien der Einsatzanordnung vom 25.02.2010 und deren Verlängerungen lässt sich lediglich entnehmen, dass Daten über xxx und drei weitere Personen als Ziel- bzw. als Kontakt-/Begleitpersonen erhoben werden sollten. Der Name des Klägers ist – was der Beklagtenvertreter in der mündlichen Verhandlung nochmals bestätigte – darin nicht genannt.

b. Die Datenerhebung über den Kläger lässt sich auch nicht auf § 22 Abs. 4 PolG stützen. Danach dürfen Daten auch dann nach Absatz 2 oder 3 erhoben werden, wenn Dritte unvermeidbar betroffen werden.

Wann eine Unvermeidbarkeit vorliegt, wurde – soweit ersichtlich – bislang in der Rechtsprechung wie in der Literatur nicht geklärt. Eine Unvermeidbarkeit wird allenfalls dann anzunehmen sein, wenn sich im Zuge konkreter Ermittlungen gegen die polizeiliche Zielperson die Kontaktaufnahme mit dem Dritten nicht vermeiden lässt. Allein der Zweck, die eigene Legende abzusichern, wird die Datenerhebung gegenüber einem Dritten wohl nicht zulassen (vgl. Stephan/Deger, Polizeigesetz für Bad.-Württ., 7. Aufl. 2014, § 22 RN 24).“

Der Grundsatz des Treu und Glaubens ist nach dem Vorstehenden auch mit dem nächsten Prinzip, der Transparenz, eng verbunden und eher als Auffangtatbestand zu verstehen.

c. Transparenz

Der Grundsatz der Transparenz bzw. wie in Nr. 1 beschrieben in „einer für die betroffene Person nachvollziehbaren Weise“ ist in der DSGVO neu hinzugekommen, er wird weder in Art. 6 DS-RL noch im BDSG aufgeführt. Dabei geht der Klammerbegriff „Transparenz“ weiter als die „nachvollziehbare Weise“, weil ersterer bereits die Information des Betroffenen für eine beabsichtigte, aber noch nicht durchgeführte Datenverarbeitung umfasst.

Der Erwägungsgrund 39 der DSGVO führt zur Transparenz aus:

„Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können.“

Der Grundsatz der Transparenz bildet damit auch die Grundlage für die Auskunfts- und Informationspflichten des für die Datenerhebung/-verarbeitung Verantwortlichen (insb. Art. 13-15 DSGVO), die gegenüber den Betroffenen eingehalten werden müssen. Diese Auskunfts- und Informationspflichten müssen demgemäß auch in klarer, eindeutiger und verständlicher Weise erfüllt werden.

2. Zweck

Art. 5 Abs. 1 b) legt den Grundsatz der Zweckbindung der Datenerhebung und -verarbeitung fest. Dieser ergibt sich bereits unmittelbar aus Art. 8 Abs. 2 GrCh.

Hierbei handelt es sich um einen Kernbestandteil des Datenschutzrechts, der sowohl die Erhebung als auch die Verarbeitung und die Dauer der Speicherung von Daten betrifft. Ohne Zweckbindung könnten einmal erhobene Daten immer wieder verwendet werden, worin jeweils erneut ein Eingriff in den Schutzbereich des Rechts auf informationelle Selbstbestimmung der betroffenen Personen liegen würde. Bei einer Weiterverwendung von Daten ist der Betroffene – anders als häufig bei der Erhebung – auch nicht anwesend, um seine Rechte geltend zu machen oder durchsetzen zu können, so dass eine solche von vornherein zu begrenzen bzw. nicht zu gestatten ist. Dabei ist nicht jede weitere Verarbeitung über den Erhebungszweck hinaus per se ausgeschlossen, es muss jedoch ein gültiger Erlaubnistatbestand vorhanden sein, um die Weiterverarbeitung zu legitimieren.

a. Art des Zwecks

Der Zweck der Datenerhebung und -verarbeitung muss gemäß Art. 5 Abs. 1 b) festgelegt, eindeutig und legitim sein. Erwägungsgrund 39 beschreibt dies so:

„Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.“

3. Beschränkung auf das Notwendige

4. Richtigkeit

5. Speicherung

6. Vertraulichkeit

III. Rechenschaftspflicht des Verantwortlichen

[…]

Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung,
CR 2016, 88

Bartels/Schramm, Outsourcing nach neuem Datenschutzrecht – Auftragsdatenverarbeitung jetzt nach künftiger EU-Datenschutz-Grundverordnung vereinbaren,
kes 2016, 25

Bergt, Die Bestimmbarkeit als Grundproblem des Datenschutzrechts. Überblick über den Theorienstreit und Lösungsvorschlag,
ZD 2015, 365

Buchner, Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO
DuD 2016, 155

Buschbaum/Rosak, Kfz-Kennzeichenerfassung in Parkhäusern
ZD 2015, 354

Dammann, Erfolge und Defizite der EU-Datenschutzgrundverordnung
ZD 2016, 307

Franck, Das System der Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO)
RDV 2016, 111

Härting, Auftragsverarbeitung nach der DSGVO
ITRB 2016, 137

Karg, Anonymität, Pseudonyme und Personenbezug revisited?,
DuD 2015, 520

Kartheuser/Schmitt, Der Niederlassungsbegriff und seine praktischen Auswirkungen,
ZD 2016, 155

Klabunde, Datenschutz bei der Erfassung und Nutzung von Standortdaten,
Datenschutz-Nachrichten, 2014, S. 98–102;

Krohm, Abschied von der Schriftform der Einwilligung,
ZD 2016, 368

Krohm/Müller-Peltzer, (Fehlende) Privilegierung der Auftragsverarbeitung unter der DS-GVO?,
RDV 2016, 307

Kugelmann, Datenfinanzierte Internetangebote,
DuD 2016, 566

Lauber/Rönsberg, Internetveröffentlichungen und Medienprivileg,
ZD 2014, 177

Leeb, Bekannt verstorben – Rechtsfragen des Umgangs mit social-media-daten Verstorbener,
K&R 2014, 693

Mantz, Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsanbieter,
K&R 2013, 7

Marnau, Anonymisierung, Pseudonymisierung und Transparenz für Big Data,
DuD 2016, 428

Monreal, Der für die Verarbeitung Verantwortliche,
ZD 2014, 611

Nink/Pohle, Die Bestimmbarkeit des Personenbezugs. Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze,
MMR 2015, 563

Richter, Datenschutz zwecklos? – Das Prinzip der Zweckbindung im Ratsentwurf der DSGVO,
DuD 2015, 735

Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht,
NJW 2016, 1841

Schierbaum, Datenschutz im Betriebsratsbüro – verantwortlich ist allein der Betriebsrat,
CuA 4/2013, 31

Schmitz/v. Dall’Armi, Auftragsdatenverarbeitung in der DS-GVO – das Ende der Privilegierung?,
ZD 2016, 427

Spelge, Der Beschäftigtendatenschutz nach Wirksamwerden der DS-GVO,
DuD 2016, 775

Taeger, Scoring in Deutschland nach der EU-Datenschutzgrundverordnung,
ZRP 2016, 72

Wendler/Günther, Europäischer Gerichtshof: Anwendungsbereich des nationalen Datenschutzrechts in Europa,
PinG 2016, 115