Die Verordnung ist die unionsweite Umsetzung des Grundrechts auf informationelle Selbstbestimmung (national) und Schutz der personenbezogenen Daten (Union, Grundrechtecharta Artikel 8).
Die Verordnung wird wortgleich als Datenschutz-Grundverordnung (DS-GVO) im nationales Recht verwendet, ohne ein Gesetz zu sein. Dies ist nicht notwendig, weil die VO (EU) 2016/679 direkt zur Anwendung kommt.
Die Verordnung regelt die Verarbeitung personenbezogener Daten durch:
den Staat
die Wirtschaft
Eine Verarbeitung personenbezogener Daten durch den Staat stellt stets einen Eingriff in die Grundrechte dar und geht mit einer Beschränkung der Grundfreiheiten einher > Grundgesetz Artikel 2 Abs. 2
Nur eine Verarbeitung, die ausdrücklich erlaubt ist, kann rechtmäßig sein > materielles Recht > Gesetzgebung
Die Erlaubnis muss konkret einer Aufgabe zugeordnet sein.
Die Erlaubnis (Befugnis) hat konkret jeden Verarbeitungsschritt (Zweck – Erhebung – Auswertung – Übermittlung) zu bezeichnen.
Jeder Verarbeitungsschritt muss zur Erledigung der Aufgabe notwendig und geeignet sein.
Vollzug
Grundsätze für die Verarbeitung personenbezogener Daten:
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
c) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden
e) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (Integrität und Vertraulichkeit)
Information
Der Betroffene ist über den Zweck konkret und jeden Verarbeitungsschritt zu informieren. Ihm sind seine Rechte bekannt zu geben. (Art. 12-22 VO(EU)2016/679)
Häufige Irrtümer
Eine Aufgabe ist automatisch mit einer Befugnis verbunden
Eine Aufgabe im öffentlichen Interesse ist per se mit einer Befugnis verbunden (Es wird dabei Art. 6 Abs.2 und 3 übersehen)
Gesammelte Daten und Informationen müssen nicht richtig sein, wenn man sie weitergibt und darauf hinweist (Es wird dabei Art 5 Abs. 1 lit d mit Abs. 2 der VO übersehen)
Unrechtmäßig verarbeitete Daten und Informationen dürfen vom Empfänger weiterverarbeitet werden (Es wird dabei übersehen, dass das Dominoprinzip gilt: Unrechtmäßig bleibt immer unrechtmäßig, die Verarbeitung wird deshalb auch unrechtmäßig)
Wenn es dem einen erlaubt ist, dann darf der ähnliche Nutzer dies auch. (Pförtner untertags darf nicht das Gleiche wie der Nachtwächter. Es herrscht Analogieverbot).