BDSG 2018 – § 47 – online-Kommentar

§ 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

Personenbezogene Daten müssen

  1. auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,
  2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,
  3. dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht außer Verhältnis zu diesem Zweck stehen,
  4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,
  5. nicht länger als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und
  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Kommentar

§ 47 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.

Die Vorschrift enthält Grundsätze der Verarbeitung und dient der Umsetzung von Artikel 4 Absatz 1 der Richtlinie (EU) 2016/680. Die Grundsätze knüpfen an die in der Richtlinie (EU) 2016/680 formulierten Grundsätzen an und ähneln Art. 5 Absatz 1 DSGVO. Dass neben den Grundsätzen der Rechtmäßigkeit, Zweckbindung, Datensparsamkeit, Datenrichtigkeit, Speicherungsbegrenzung, Integrität und Vertraulichkeit (vgl. Art. 5 Absatz 1 DSGVO) die Transparenz nicht aufgeführt ist, liegt an der spezifischen Verarbeitungssituation – insbesondere der Strafverfolgung und Ahndung von Ordnungswidrigkeiten (vgl. § 44).

Die Grundsätze sind unionsrechtlich vorgeprägt, sodass bei Anwendung und Auslegung auf Art. 5 DSGVO zurückgegriffen werden kann.

Nummer 1 weist bei Lichte betrachtet keinen eigenständigen Regelungsgehalt auf. Die Regelung bestimmt, dass personenbezogene Daten auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden müssen. Die Anforderung der „rechtmäßigen“ Datenverarbeitung hat keine eigenständige Bedeutung und ist überflüssig, denn sie gilt auch ohne einen solchen Grundsatz. Für die Verarbeitung nach „Treu und Glauben“ gilt nichts anderes, denn Verantwortliche und Auftragsverarbeiter, die nach dem 3. Teil des Gesetzes adressiert werden, sind gegenüber Betroffenen nicht an Treu und Glauben gebunden und eine solche Bindung kann auch nicht begründet werden, denn Behörden sind an Recht und Gesetz gebunden (Art. 20 Absatz 3 GG). Eine über „Recht und Gesetz“ hinausgehende Bedeutung kann aus Treu und Glauben nicht hergeleitet werden.

Nummer 2 bestimmt eine Zweckbindung, die gleichermaßen auch im Privatrechtsverkehr gilt. Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und nicht verarbeitet werden, wenn diese Zwecke nicht gewahrt sind. Die im Privatrechtsverkehr als Selbstbindung wirkende Bestimmung der Festlegung wird im Bereich des dritten Teils (§§ 45 – 84) weitestgehend durch Gesetze (StGB, StPO, OWiG etc.) erfüllt.

Nummer 3 umschreibt das Verhältnismäßigkeitsprinzip – Daten dürfen nur verarbeitet werden, wenn das für die Erreichung der Zwecke erforderlich ist und die Verarbeitung nicht außer Verhältnis zum Zweck steht.

Nummer 4 enthält ein Richtigkeits- und Aktualitätsgebot und bestimmt, dass Maßnahmen zur Berichtigung und Löschung zu treffen sind.

Nummer 5 bestimmt, dass Daten nicht länger gespeichert werden dürfen als es für die Zwecke, für die verarbeitet werden, erforderlich ist. Da die Speicherung von personenbezogenen Daten nach dem Vorbehalt des Gesetzes einer Ermächtigungsgrundlage bedarf und jede Speicherung, die ohne Vorliegen einer Ermächtigungsgrundlage rechtswidrig ist, dürfte der Festlegung in Nummer 5 keine eigenständige Bedeutung zukommen.

Nummer 6 sieht Maßgaben für die Datensicherheit vor.

 

zurück zum BDSG 2018