Navigation und Service

Logo der Deutschen Rentenversicherung (Link zur Startseite rvRecht)

rvRecht® - Rechtsportal der Deutschen Rentenversicherung
Drucken

GRA

Art. 5 DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten

Änderungsdienst
veröffentlicht am

28.04.2020

Änderung

Ergänzungen

Dokumentdaten
Stand01.03.2019
Erstellungsgrundlage in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018
Rechtsgrundlage

Art. 5 DSGVO

Version002.00

Inhalt der Regelung

Im Art. 5 Abs. 1 DSGVO werden die Grundsätze, die bei der Verarbeitung personenbezogener Daten gelten, dargestellt und in abstrakter Weise normiert.

Der Art. 5 Abs. 2 DSGVO legt die Verantwortung bei der Einhaltung der Grundsätze fest und regelt die dazugehörige Nachweispflicht.

nach oben

Ergänzende/korrespondierende Regelungen

Die Regelung des Art. 5 DSGVO wird ergänzt durch § 35 SGB I, die §§ 67 ff SGB X sowie durch die Art. 6 DSGVO, Art.13 DSGVO, Art. 14 DSGVO, Art. 16 DSGVO, Art. 17 DSGVO, Art. 21 DSGVO, Art. 25 DSGVO, Art. 30 DSGVO, Art. 32 DSGVO, Art. 58 DSGVO, Art. 83 DSGVO und Art. 89 DSGVO. Weitere Erläuterungen und Auslegungshilfen finden sich in den Erwägungsgründen (ErwG 39 DSGVO-ErwG, ErwG 40 DSGVO-ErwG, ErwG 44 DSGVO-ErwG, ErwG 45 DSGVO-ErwG, ErwG 50 DSGVO-ErwG, ErwG 58 DSGVO-ErwG, ErwG 78 DSGVO-ErwG, ErwG 89 DSGVO-ErwG, ErwG 100 DSGVO-ErwG, ErwG 159 DSGVO-ErwG und ErwG 160 DSGVO-ErwG.

§ 35 SGB I ist die Grundnorm des Sozialdatenschutzes.

nach oben

Allgemeines

Art. 5 DSGVO regelt allgemeine Grundsätze, die für die Verarbeitung von personenbezogenen Daten gelten. Die Grundsätze des Art. 5 DSGVO werden in den weiteren Vorschriften der DSGVO aufgegriffen und konkretisiert. Die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO wird dem Verantwortlichen als Pflicht auferlegt und er muss nachweisen können, dass er diese Pflicht befolgt (vergleiche Art. 5 Abs. 2 DSGVO)

nach oben

Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO)

Folgende Grundsätze gelten für die Verarbeitung personenbezogener Daten:

nach oben

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 Buchst. a DSGVO)

Die Verarbeitung der personenbezogenen Daten muss rechtmäßig sein. Gleichzeitig muss die Verarbeitung nach Treu und Glauben erfolgen und die Transparenz gegenüber der betroffenen Person gegeben sein.

nach oben

Rechtmäßigkeit

Eine rechtmäßige Verarbeitung liegt vor, wenn eine der Voraussetzungen des Art. 6 DSGVO gegeben ist. Dies ist insbesondere dann der Fall, wenn eine Einwilligung der betroffenen Person vorliegt oder eine andere Rechtsgrundlage für die Verarbeitung existiert. Eine ausreichende Rechtsgrundlage kann sowohl eine Rechtsgrundlage nach Unionsrecht als auch eine nationale Rechtsgrundlage sein (ErwG 40 DSGVO-ErwG). Die Verarbeitung der Daten gilt als rechtmäßig, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist (ErwG 44 DSGVO-ErwG) oder wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen (ErwG 46 DSGVO-ErwG).

Die Rechtmäßigkeit der Verarbeitung personenbezogener Sozialdaten für die Deutsche Rentenversicherung ergibt sich aus Art. 6 Abs. 1 Buchst. c DSGVO in Verbindung mit §§ 67a, 67b und 67c SGB X.

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Beschäftigten ergibt sich aus Art. 6 Abs. 1 Buchst. b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 BDSG, weil sie für die Anbahnung, für die Durchführung oder die Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Für das Dienstverhältnis von Beamt*innen sind zudem die Bestimmungen der §§ 106ff BBG zu berücksichtigen.

Zur Rechtmäßigkeit gehört auch die Prüfung der Geeignetheit und der Angemessenheit der gewählten Form der Verarbeitung, um die festgelegten Zweckbestimmung(en) zu erreichen.

nach oben

Verarbeitung nach Treu und Glauben

Die Begrifflichkeit „Treu und Glauben“ ist in der DSGVO nicht weiter konkretisiert. Aus diesem Grund muss diese Regelung als ein Auffangtatbestand verstanden werden. Grundsätzlich soll verhindert werden, dass die betroffene Person durch die Verarbeitung der personenbezogenen Daten einen Nachteil erleidet, ohne zwingend gegen ein konkretes Verbot verstoßen zu haben. Eine solche begriffliche Interpretation liegt nahe, da in anderen Regelungen der DSGVO häufig die Anforderungen „fair“ und „transparent“ in Verbindung gebracht werden.

nach oben

Transparenz

Mit dem Grundsatz der Transparenz soll gewährleistet werden, dass die betroffene Person umfassende Information über die Verarbeitung der auf sie bezogenen Daten erhält. Insbesondere die heimliche Verarbeitung personenbezogener Daten soll hiermit ausgeschlossen werden. Der ErwG 39 DSGVO-ErwG konkretisiert den Umfang dieses Grundsatzes. Demnach soll die betroffene Person insbesondere über den Umfang der aktuellen und künftigen Datenverarbeitung, die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechte der betroffenen Person und die Risiken der Verarbeitung informiert werden. Alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten müssen in klarer und einfacher Sprache formuliert sein (ErwG 39 DSGVO-ErwG, ErwG 58 DSGVO-ErwG).

Die Transparenzanforderungen werden insbesondere durch die Art. 12 bis 15 DSGVO konkretisiert. Im Wege des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen kann Transparenz in Bezug auf die Verarbeitung personenbezogener Daten hergestellt werden (ErwG 78 DSGVO-ErwG). In diesem Zusammenhang geben Zertifizierungsverfahren und Datenschutzsiegel beziehungsweise Datenschutzprüfzeichen den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen(ErwG 100 DSGVO-ErwG).

Für Versicherte, Rentner*innen und sonstige Personen, deren Daten durch die Deutsche Rentenversicherung Bund verarbeitet werden, wird diese Informationspflicht durch die Broschüre „Datenschutz: Ihre Daten und Ihre Rechte“ erfüllt. Die Broschüre ist auf der Internet-Seite der Deutschen Rentenversicherung Bund verfügbar. In jedem Antragsvordruck und in jeder Info-Broschüre wird auf diese Information verweisen. Auf Anforderung steht die Broschüre auch als Papierfassung zur Verfügung.

nach oben

Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO)

Der Grundsatz der Zweckbindung ist ein Kernbestandteil des Datenschutzrechts. Der Zweckbindungsgrundsatz findet sich fast gleichlautend in Art. 6 Abs. 1 DSGVO.

nach oben

Festlegung des Zwecks

Bereits bei der Erhebung von personenbezogenen Daten muss ein eindeutiger und legitimer Zweck festgelegt sein, zu dem die Daten verarbeitet werden sollen. „Eindeutig“ bedeutet, dass die Verarbeitungszwecke mit hinreichender Bestimmtheit beschrieben sein müssen, so dass diese sowohl durch die betroffene Person als auch durch die Aufsichtsbehörden nachvollziehbar sind. Von einer Legitimität der Verarbeitungszwecke kann ausgegangen werden, wenn die Verarbeitung rechtlich zulässig ist. Es muss eine eindeutige Rechtsgrundlage existieren und die Verarbeitung darf nicht gegen geltendes Recht verstoßen. Eine ausreichende Rechtsgrundlage kann sowohl eine Rechtsgrundlage nach Unionsrecht als auch eine nationale Rechtsgrundlage sein.

In welcher Form die Zweckfestlegung zu erfolgen hat, regelt die DSGVO nicht. Aufgrund der Tatsache, dass der Verantwortliche die Einhaltung der Zweckbindung nachweisen muss, muss die Form so gewählt werden, dass diese eine Dokumentation ermöglicht (Art. 5 Abs. 2 DSGVO).

Bei der Zweckfestlegung ist zu normieren, welche Daten (Datenkatalog) verarbeitet und wie lange diese gespeichert werden dürfen. Durch die Regelungen des Art. 5 Abs. 1 Buchst. c DSGVO (Datenminimierung) und des Art. 5 Abs. 1 Buchst. e DSGVO (Speicherbegrenzung) unterstreicht der Gesetzgeber diese Verpflichtung. Das Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO kann in diesem Zusammenhang eine geeignete Form der Zweckfestlegung darstellen.

nach oben

Zweckänderung

Eine Änderung des im Vorfeld festgelegten Zwecks ist grundsätzlich ausgeschlossen. Dies betrifft insbesondere Zweckänderungen, die Verarbeitungstätigkeiten betreffen, die unvereinbar mit dem ursprünglichen Erhebungszweck sind. Eine Weiterverarbeitung zu einem geänderten Zweck ist nur zulässig, wenn dieser Zweck mit dem ursprünglichen Zweck der Datenerhebung vereinbar ist und eine ausreichende Rechtsgrundlage für die Verarbeitung vorhanden ist (ErwG 50 DSGVO-ErwG). Der Begriff „vereinbar“ ist so zu verstehen, dass eine enge Verbindung zwischen dem ursprünglichen Zweck und dem Weiterverarbeitungszweck bestehen muss. Dies ist insbesondere dann der Fall, wenn die Weiterverarbeitung einen logischen Folgeschritt nach der ersten Verarbeitung darstellt. In diesem Zusammenhang ist auch zu prüfen, inwieweit die betroffene Person die Weiterverarbeitung der Daten erwarten konnte. Von einer Unvereinbarkeit kann beispielsweise ausgegangen werden, wenn der Verantwortliche wechselt und dadurch Daten öffentlich werden oder sich negative und unvorhersehbare Folgen für die betroffene Person ergeben. Der Verantwortliche kann in diesen Fällen jedoch unter Beachtung der einschlägigen Vorschriften die Daten bei der betroffenen Person erneut erheben.

Über eine Zweckänderung ist die betroffene Person vorab zu informieren (Art. 13 Abs. 3 DSGVO und Art. 14 Abs. 4 DSGVO), wenn und soweit sie nicht bereits über die Informationen verfügt (Art. 13 Abs. 4 DSGVO und Art. 14 Abs. 5 Buchst. a DSGVO).

Eine Zweckänderung ist ebenfalls zulässig, wenn die betroffene Person in diese Zweckänderung eingewilligt hat.

nach oben

Zweckvereinbarkeit bei Archiv-, Forschungs- und statistischen Zwecken

Die Weiterverarbeitung von personenbezogenen Daten zu Zwecken der im öffentlichen Interesse liegenden Archivierung, für wissenschaftliche oder historische Forschung oder für statistische Zwecke ist zulässig, sofern eine entsprechende Rechtsgrundlage für die Verarbeitung vorhanden ist. Eine ausreichende Rechtsgrundlage kann sowohl eine Rechtsgrundlage nach Unionsrecht als auch eine nationale Rechtsgrundlage sein. Durch die Regelungen des Art. 89 Abs. 1 DSGVO besteht die Verpflichtung des Verantwortlichen, geeignete Garantien für die Rechte und Freiheiten der betroffenen Person zu ergreifen

Die Weiterverarbeitung zu Archivzwecken ist nur dann zulässig, wenn dieser Archivzweck im öffentlichen Interesse liegt. Es geht im Wesentlichen um Aufzeichnungen von bleibendem Wert für das allgemeine öffentliche Interesse (ErwG 158 DSGVO-ErwG). Der Begriff „wissenschaftliche Forschungszwecke“ beinhaltet insbesondere die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung (ErwG 159 DSGVO-ErwG).

Zur „historischen Forschung“ zählt auch die Genealogie (ErwG 160 DSGVO-ErwG). Zu beachten ist in diesem Zusammenhang, dass die DSGVO nicht für verstorbene Personen gilt (ErwG 27 DSGVO-ErwG).

Der Weiterverarbeitung von personenbezogenen Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken nach Art. 89 Abs. 1 DSGVO kann die betroffene Person widersprechen (Art. 21 Abs. 6 DSGVO). Ein Widerspruchsrecht gegen die Weiterverarbeitung zu Archivzwecken besteht nicht.

nach oben

Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO)

Die personenbezogenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung). Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Die Regelung des Art. 5 Abs. 1 Buchst. c DSGVO stellt einen Ergänzung des Grundsatzes der Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO) dar. Der Grundsatz der Datenminimierung legt fest, dass es sich um Daten handeln muss, die für das Erreichen des festgelegten Verarbeitungszwecks erforderlich sind.

Von einer Angemessenheit der Daten kann ausgegangen werden, wenn ein Bezug zum Verarbeitungszweck vorhanden ist. Durch die Anforderung der Erheblichkeit soll sichergestellt werden, dass die Daten geeignet sein müssen, den festgelegten Verarbeitungszweck zu erfüllen. Die Beschränkung der Daten auf das notwendige Maß bedeutet, dass die Menge der Daten so zu begrenzen ist, dass zusätzliche Daten, die für das Erreichen des Verarbeitungszwecks nicht erforderlich sind, nicht verarbeitet werden dürfen.

Grundsätzlich sollte vom Verantwortlichen geprüft werden, ob der Verarbeitungszweck auch dann erreicht werden kann, wenn die Daten anonymisiert verarbeitet werden. Sofern der Verarbeitungszweck auch mit anonymisierten Daten erreicht werden kann, wäre die Verarbeitung von personenbezogenen Daten ein Verstoß gegen den Grundsatz der Datenminimierung.

nach oben

Richtigkeit (Art. 5 Abs. 1 Buchst. d DSGVO)

Die personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Der Begriff „sachlich richtig“ bezieht sich ausschließlich auf Tatsachenangaben zur betroffenen Person. Die Formulierung „erforderlichenfalls auf dem neuesten Stand“ bedeutet, dass die Richtigkeit der personenbezogenen Daten im Hinblick auf den Verarbeitungszweck gegeben sein muss. Der Verantwortliche ist verpflichtet, unrichtige Daten unverzüglich löschen oder berichtigen zu lassen. Das Recht auf Berichtigung ist in Art. 16 DSGVO und das Recht auf Löschung für im Hinblick auf die Zwecke ihrer Verarbeitung unrichtige Daten in Art. 17 DSGVO konkret geregelt.

nach oben

Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO)

Mit diesem Grundsatz wird eine zeitliche Grenze für die Verarbeitung von personenbezogenen Daten gesetzt. Eine Speicherung personenbezogener Daten darf nur so lange erfolgen, bis der Verarbeitungszweck erreicht ist und somit die Identifizierung der betroffenen Person nicht mehr erforderlich ist. Diese Regelung ergänzt den Grundsatz der Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO). Dieser stellt sicher, dass die Speicherung personenbezogener Daten durch den festgelegten Zweck in zeitlicher Hinsicht begrenzt wird.

Sofern die Speicherung personenbezogener Daten nicht mehr erforderlich ist, besteht die Möglichkeit, diese zu löschen. Eine weitere Möglichkeit ist; den Bezug der Daten zur betroffenen Person aufzuheben. Dies kann dadurch geschehen, dass die die Person identifizierenden Merkmale gelöscht werden. In jedem Fall darf eine Identifizierung der betroffenen Person nicht mehr möglich sein. Art. 17 Abs. 1 Buchst. a DSGVO ergänzt die Speicherbegrenzung durch Regelungen zur Löschpflicht.

Die Einhaltung des Grundsatzes der Speicherbegrenzung sollte durch die Festlegung von Fristen zur Aufbewahrung oder mittels regelmäßiger Überprüfungen (Löschkonzept) durch den Verantwortlichen sichergestellt sein (ErwG 39 DSGVO-ErwG).

Eine Ausnahme der Speicherbegrenzung stellt die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke dar, sofern eine entsprechende Rechtsgrundlage für die Verarbeitung vorhanden ist. Eine ausreichende Rechtsgrundlage kann sowohl eine Rechtsgrundlage nach Unionsrecht als auch eine nationale Rechtsgrundlage sein. Durch die Regelungen des Art. 89 Abs. 1 DSGVO besteht die Verpflichtung des Verantwortlichen, geeignete Garantien für die Rechte und Freiheiten der betroffenen Person ergreifen zu müssen. Art. 5 Abs. 1 Buchst. e DSGVO legt in diesem Zusammenhang fest, dass technische und organisatorische Maßnahmen zum Schutz der betroffenen Person durch den Verantwortlichen zu ergreifen sind.

Es gibt keine festgelegten Aufbewahrungs- oder Speicherfristen in den Datenschutzgesetzen (Ausnahme: Speicherfrist für Protokolldaten bei automatisierten Abrufverfahren § 79 Abs. 4 SGB X). In einigen Fällen wird die Aufbewahrungsfrist jedoch im Gesetz ausdrücklich geregelt. Sofern personenbezogene Daten zu Revisionszwecken oder beispielsweise als zahlungsbegründende Unterlage eine Zweckbestimmung haben, ergibt sich die Archivierungsfrist aus dem Endzeitpunkt, zu dem die Revision nicht mehr erforderlich ist.

nach oben

Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO)

Die personenbezogenen Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Insbesondere müssen die personenbezogenen Daten vor unbefugter und unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt werden. Der Schutz ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten.

Eine unbefugte Verarbeitung liegt vor, wenn die Verarbeitung durch eine Person erfolgt, die nicht dem Verantwortlichen zuzurechnen ist. Sofern eine Verarbeitung ohne das Vorhandensein einer entsprechenden Rechtsgrundlage erfolgt, handelt es sich um eine unrechtmäßige Verarbeitung.

Verlust, Zerstörung oder Schädigung von Daten liegt vor, wenn Daten abhandenkommen. Hierzu zählt auch das Verändern von Daten in einer Form, dass diese nicht mehr oder nur noch eingeschränkt für den vorgesehenen Zweck verarbeitet werden können.

Die geeigneten technischen und organisatorischen Maßnahmen sind in Art. 32 DSGVO näher definiert.

nach oben

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Art. 5 Abs. 2 DSGVO legt zum einen fest, dass der Verantwortliche (Art. 4 Nr. 7 DSGVO) für die Einhaltung der Grundsätze des Absatzes 1 verantwortlich ist, zum anderen muss er nachweisen können, dass er diese Pflicht befolgt hat. Verstärkt wird diese Regelung durch die Bußgeldvorschrift des Art. 83 Abs. 5 Buchst. a DSGVO. Aufgrund der Untersuchungsbefugnisse der Aufsichtsbehörden (Art. 58 Abs. 1 Buchst. a DSGVO) hat die Nachweispflicht für den Verantwortlichen eine zentrale Bedeutung. In welcher Form der Nachweis der Dokumentation der Überwachung der Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO erfolgt, ist nicht definiert. Im ErwG 78 DSGVO-ErwG finden sich Hinweise, in welcher Form diese Dokumentation erfolgen kann. Demnach ist eine mögliche Form des Nachweises das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 24 Abs. 1 DSGVO) sowie die Umsetzung von Datenschutzmaßnahmen bei der Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default, vergleiche Art. 25 DSGVO). In jedem Fall empfiehlt es sich, eine schriftliche Dokumentation vorzunehmen, aus der hervorgeht, in welcher Weise der Verantwortliche für die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO Sorge trägt.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1

Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.

Zusatzinformationen

Rechtsgrundlage

Art. 5 DSGVO