Damit basiert das Datenschutzrecht weiterhin auf dem Verbotsprinzip[25], wonach jede Datenverarbeitung legalisiert werden muss. Die Zulässigkeit der Datenverarbeitung ergibt sich nach der DS-GVO aus den Art. 6–11 sowie aus Art. 22 (automatisierte Einzelentscheidung) und Art. 44 ff. (Drittlandstransfer).
24
Die Rechtsgrundlage kann sich neben der DS-GVO auch, bei Vorhandensein einer entsprechenden Öffnungsklausel, aus dem Recht der Union oder des Mitgliedstaats ergeben. Aus der Perspektive des Unionsrechts bedarf es für diese Rechtsgrundlage keines parlamentarischen Rechtsakts. Nach ErwG 41 bleiben davon Anforderungen gem. der Verfassungsordnung des betreffenden Mitgliedstaates unberührt. Im nationalen deutschen Recht greift an dieser Stelle die Wesentlichkeitstheorie. Danach müssen Regelungen, die wesentlich für die Verwirklichung von Grundrechten sind, durch den Parlamentsgesetzgeber verabschiedet werden.[26] Im deutschen Recht muss daher eine Regelung, die wesentlich in das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG eingreift, auf einer Rechtsgrundlage in Form eines Parlamentsgesetzes beruhen.[27]
25
Da der Grundsatz der Rechtmäßigkeit der Sache nach so etwas wie einen Vorbehalt des Gesetzes normiert, ist er vor allem für den Bereich der Datenverarbeitung unter Privaten nach deutschem Rechtsverständnis zwar bemerkenswert, aber durch § 4 BDSG a.F. auf einfacher Rechtsgrundlage schon eingeführt gewesen.[28]
26
Eine nicht unwesentliche Zahl von Zulässigkeitsregelungen des BDSG a.F. ist in der DS-GVO nicht spezifiziert. Zu nennen sind die Vorschriften über die Videoüberwachung[29], zum Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien oder über automatisierte Abrufverfahren. Da die DS-GVO nicht mehr zwischen Stellen, die Daten für eigene Zwecke geschäftsmäßig zur Datenübermittlung in personenbezogener bzw. anonymisierter Form und der Markt- und Meinungsforschung speichern trennt, sind auch die für die verschiedenen Bereiche bestehenden Sonderregelungen entfallen. Ebenfalls nicht mehr speziell angesprochen werden die Zulässigkeit der personalisierten Werbung und die Profilbildung durch Scoring. Die Erlaubnisse hierfür müssen durch die Interessenabwägung des Art. 6 Abs. 1 lit. f beurteilt werden. Teilweise wurden Spezifikationen der Zulässigkeit des BDSG a.F. über die Öffnungsklauseln der DS-GVO in §§ 22 bis 31 BDSG n.F. beibehalten. Damit wird in den im BDSG n.F. geregelten Vorschriften zusätzliche Rechtssicherheit geschaffen.
2. Verarbeitung nach Treu und Glauben (Fairness)
27
Gemäß Art. 5 Abs. 1 lit. a Var. 2 müssen personenbezogene Daten nach Treu und Glauben verarbeitet werden. Der Grundsatz Treu und Glauben findet sich in Konvention Nr. 108 des Europarates, ist in Art. 8 Abs. 2 S. 1 der Europäischen-Grundrechtecharta verbürgt und wurde durch Art. 6 Abs. 1 der DSRL i.V.m. ErwG 38 DSRL ausgefüllt.
28
Auch wenn das Gebot von Treu und Glauben unter der DS-GVO inhaltlich schwer zu fassen ist[30], verbietet es sich einfach, auf den im deutschen nationalen Recht bestimmten Begriff von Treu und Glauben zurückzugreifen. Ein solches Vorgehen widerspricht dem unionsrechtlichen Grundsatz, dass das Unionsrecht eine eigenständige Rechtsordnung aufstellt, „nach der sich die Befugnisse, Rechte und Pflichten der Rechtssubjekte sowie die zur Feststellung und Ahndung etwaiger Rechtsverletzungen erforderlichen Verfahren bestimmen.“[31]. Der Begriff von Treu und Glauben muss autonom für die DS-GVO als EU-Norm ausgelegt werden. Es kann nicht die Absicht des Gesetzgebers der EU gewesen sein, in Art. 5 Abs. 1 lit. a Var. 2 die vielseitigen Bedeutungsinhalte zu implementieren, die sich im Laufe der Zeit in der deutschen Rechtsordnung mit dem Begriff von Treu und Glauben entwickelt haben.[32]
29
In der englischen Sprachfassung des Art. 5 Abs. 1 lit. a wird an der Stelle der Begriff „fairly“ verwendet. Die deutsche Sprachfassung wäre an dieser Stelle weniger missverständlich, wenn sie hier den Begriff „fair“ verwendet hätte.[33] An anderen Stellen der deutschen Sprachfassung ist dies geschehen. So findet sich der Begriff „fair“ unter anderem in den Art. 13 Abs. 2, 14 Abs. 2 und Art. 40 Abs. 2 lit. a sowie in den ErwG 39 S. 4, 60 S. 1, 2 und 71 S. 6.
30
Inhaltlich ist die englische Sprachfassung, die eine „faire“ Verarbeitung fordert, aussagefähig. Eine „faire“ Verarbeitung ist in der Regel nur gegeben, wenn sie mit dem Wissen der betroffenen Person und nicht heimlich erfolgt.[34] Insoweit bedingen sich die Grundsätze der Rechtmäßigkeit und der der Transparenz. So wird es dem Grundsatz der „Fairness“ widersprechen, im Wege sogenannter „Freundschaftswerbung“ hinter dem Rücken der betroffenen Person Wissen für Werbezwecke zu erlangen, obwohl der Direkterhebungsgrundsatz des § 4 Abs. 2 BGSG a.F. nicht ausdrücklich in der DS-GVO normiert ist.[35] Auch dürfte die Verwendung verborgener Techniken, wie z.B. heimliche Videoüberwachung oder Spyware, regelmäßig treuwidrig sein.[36]
31
Große praktische Relevanz hat der Grundsatz von Treu und Glauben insbesondere dort, wo die DS-GVO nur sehr allgemeine Vorgaben enthält. Praktische Anwendungsfälle sind etwa das Scoring[37] oder die Videoüberwachung[38] auf Grundlage der DS-GVO. So dürfte ein Verstoß gegen den Zweckbindungsgrundsatz meist treuwidrig sein, etwa wenn Videomaterial, das zur Abwehr und Aufklärung von Straftaten aufgezeichnet wurde, zur Leistungskontrolle bei Beschäftigten eingesetzt wird.[39] Ebenso entspricht eine Datenverarbeitung nicht dem Grundsatz von Treu und Glauben, wenn sie unverhältnismäßig ist.[40] Dies ist dann der Fall, wenn es entweder an einem legitimen Zweck fehlt oder sie nicht zur Zweckerreichung das geeignete, erforderliche und angemessene Mittel darstellt.
32
Der Grundsatz der „fairen“ Verarbeitung ist auch Auslegungskriterium im Rahmen der Interessenabwägung des Art. 6 Abs. 1 lit. f. Dieser wird konkretisiert durch den ErwG 47 S. 1, wonach auf die „vernünftige Erwartungshaltung“ der betroffenen Person abzustellen ist. Eine Weitegabe personenbezogener Daten an Dritte zum Zwecke der werblichen Nutzung ohne vorherige Information dürfte damit in der Regel auch dem Grundsatz der Fairness widersprechen.[41]
3. Transparenz (Transparency)
33
Es gehört zu den datenschutzrechtlichen Grundpositionen, dass die Verarbeitung personenbezogener Daten nicht „hinter dem Rücken“ des Betroffenen stattfinden darf. Eine faire und transparente Verarbeitung setzt daher voraus, dass der Betroffene über die Existenz eines Verarbeitungsvorgangs und dessen Zwecke unterrichtet wird.
34
Der Zweck von Transparenzvorgaben besteht im Ausgangspunkt darin, eine informierte Entscheidung der betroffenen Personen zu fördern. Die betroffene Person kann durch Transparenz in die Lage zu versetzt werden, eine selbstbestimmte Auswahlentscheidung zu treffen und Einfluss auf das Zustandekommen einer
