Anforderungen jedem dieser Grundsätze entsprechen.[13] Es ist somit nicht genügend, wenn etwa der Grundsatz der Datenminimierung beachtet wird, die Grundsätze der Transparenz und der Richtigkeit aber außer Acht gelassen werden.
14
Über Art. 5 werden die allgemeinen Grundsätze der DS-GVO vor die Klammer gezogen und damit zur Grundlage der nachfolgenden Bestimmungen gemacht.[14] Die in Art. 5 Abs. 1 und 2 niedergelegten Grundsätze werden in Einzelvorschriften der DS-GVO konkretisiert. So wird insbesondere der Grundsatz der Rechtmäßigkeit in den Vorschriften über die Rechtmäßigkeit der Datenverarbeitung ausgestaltet (Art. 6 Abs. 1) und das Transparenzprinzip ist Grundlage für die Anforderungen an die Art und Weise und den Inhalt der Information und Benachrichtigung der betroffenen Person (Art. 7 Abs. 2, Art. 12–15 und Art. 34).[15]
15
Normadressaten des Art. 5 sind direkt die „Verantwortlichen“. Dies war in der Vorgängerregelung in Art. 6 DSRL noch anders, da diese Regelung an die Mitgliedstaaten adressiert war. Ergebnis der Ausgestaltung als Verordnung ist, dass die Verpflichtungen der DS-GVO den Verantwortlichen unmittelbar treffen.
16
Die Öffnungsklauseln der DS-GVO gestatten innerhalb ihres Rahmens, Ausnahmen von Art. 5 durch mitgliedstaatliches Recht zu normieren.[16] Die Öffnungsklauseln mit dieser Möglichkeit finden sich in Art. 23 hinsichtlich der Rechte der betroffenen Personen und Art. 85 im Bereich des Journalismus. Außerhalb dieser beiden Normen besteht für den nationalen Gesetzgeber keine Möglichkeit von den Grundsätzen des Art. 5 abzuweichen.
II. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Abs. 1 lit. a (Lawfulness, Fairness, Transparency)
17
In Art. 5 Abs. 1 lit. a werden drei Grundsätze aufgestellt: Rechtmäßigkeit (Lawfulness), Verarbeitung nach Treu und Glauben (Fairness) und Transparenz (Transparency). Die Grundsätze weisen wechselseitige Bezüge auf, stehen aber nicht in einem zwingenden Zusammenhang zueinander.[17] So setzen die Verarbeitung nach Treu und Glauben und die Transparenz die Rechtmäßigkeit voraus, selbst wenn sie nicht selber als Rechtmäßigkeitsvoraussetzungen anzusehen sind.[18] Auch nach der Rechtsprechung des EuGH sind Transparenz und Treu und Glauben im Zusammenhang zu sehen.[19]
1. Rechtmäßigkeit (Lawfulness)
18
Nach Art. 5 Abs. 1 lit. a Var. 1 müssen personenbezogene Daten „auf rechtmäßige Weise“ verarbeitet werden.
19
In Bezug auf die Formulierung „in rechtmäßiger Weise“ kann von einem weiten oder einem engen Verständnis ausgegangen werden. Bei einem engen Verständnis ist die Voraussetzung gemeint, dass entweder eine Einwilligung der betroffenen Person vorliegt oder eine anderweitige Rechtsgrundlage für die Verarbeitung existiert.[20] Es wird vertreten, diesem engen Verständnis trage auch ErwG 40 Rechnung.[21] Dort heißt es: „Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt…“. Rechtmäßigkeit in diesem Sinne bedeute also, dass für die betreffende Verarbeitung eine ausreichende Rechtsgrundlage im Unionsrecht oder im unionsrechtlich zulässigen mitgliedstaatlichen Recht existiert.
20
Geht man dagegen von einem weiten Verständnis von „in rechtmäßiger Weise“ aus, muss es nicht nur eine Rechtsgrundlage für die Verarbeitung geben, sondern es müssen bei der Verarbeitung auch alle zusätzlichen Anforderungen und Pflichten beachtet werden, die sich aus der DS-GVO oder aus dem nach der DS-GVO zulässigen nationalen Recht ergeben. In diesem weiten Sinne wäre eine Verarbeitung schon dann nicht „rechtmäßig“, wenn für sie zwar eine ausreichende Rechtsgrundlage existiert, aber der Verantwortliche etwa seine Informationspflichten aus Art. 13 und 14 nicht erfüllt.[22]
21
Aus dem Wortlaut der Norm lässt sich nicht entnehmen, ob von einem engen oder weiten Begriffsverständnis auszugehen ist. Beide Ansichten haben zunächst gemeinsam, dass für eine rechtmäßige Datenverarbeitung eine legitimierende Rechtsgrundlage, also entweder eine Einwilligung oder ein gesetzlicher Erlaubnistatbestand, vorliegen muss. Insofern bedeutet das Prinzip der Rechtmäßigkeit mindestens, dass für jede Verarbeitung eine ausreichende Rechtsgrundlage besteht.[23] In Bezug auf weitere Voraussetzungen der Rechtmäßigkeit ist zu differenzieren. Sind die zusätzlichen Anforderungen und Pflichten, die sich aus der DS-GVO oder aus dem nach der DS-GVO zulässigen nationalen Regelungen ergeben, so elementar, dass sie die Datenverarbeitung tragen, schlägt die Verletzung dieser Vorgaben auf die materielle Rechtmäßigkeit der Datenverarbeitung durch. Die Verarbeitung personenbezogener Daten erfolgt dann nicht mehr „in rechtmäßiger Weise“. Liegt die Verarbeitung außerhalb der jeweiligen Rechtsgrundlage ist sie in jedem Fall unrechtmäßig. Wird etwa in einem gesetzlichen Erlaubnistatbestand ein Verarbeitungszweck bestimmt, dann ist eine Verarbeitung jenseits dieses Zwecks nicht mehr von der Rechtsgrundlage gedeckt und damit unrechtmäßig.[24]
22
Soweit von einer Datenverarbeitung mehrere Personen betroffenen sind, hat die Datenverarbeitung jeder einzelnen Person gegenüber rechtmäßig zu sein. Eine Datenverarbeitung wird dann gegen den Grundsatz der Rechtmäßigkeit verstoßen, wenn durch sie ohne die notwendige Legitimation in die Rechte Dritter eingegriffen wird. Dies macht insbesondere Art. 15 Abs. 4 deutlich, der die Herausgabe einer Kopie im Rahmen eines Auskunftsanspruchs der betroffenen Person dann einschränkt, wenn die Herausgabe einer Kopie die Rechte und Freiheiten anderer Personen beeinträchtigt. Werden bspw. Kopien von E-Mails oder Tonaufnahmen einer Servicehotline im Rahmen der Auskunft nach Art. 15 als Kopie an die betroffene Person übermittelt, muss überprüft werden, ob diese auch personenbezogene Daten Dritter enthalten. Ist dies der Fall, darf die Übermittlung dieser Daten nur stattfinden, soweit nicht in die Rechte und Freiheiten der Dritten eingegriffen wird. Soweit die Rechte Dritter von der Übermittlung der Daten betroffen sind, genügt die Übermittlung dieser Daten an die betroffene Person nicht dem Grundsatz der Rechtmäßigkeit, soweit die Datenverarbeitung nicht durch einen Erlaubnistatbestand
