mit personenbezogen Daten auch für die Fälle erbringen, in denen Fehler auftreten, die „voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führen. Bei einem hohen Risiko sind auch die betroffenen Personen zu informieren.
II. Relevanz für öffentliche und nichtöffentliche Stellen
94
Die Grundsätze nach Art. 5 verpflichten Behörden und Unternehmen in gleicher Weise. Behörden haben nach dem Prinzip der Rechtmäßigkeit insbesondere das bereichsspezifische Datenschutzrecht anzuwenden bzw. den Zweckbindungsgrundsatz bei der hoheitlichen Aufgabenerfüllung zu beachten. Öffentliche und nichtöffentliche Stellen sind damit auch zur Accountability verpflichtet.
95
Verantwortliche können die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 nutzen, in dem sie sich bei der Datenverarbeitung generell an den Grundsätzen orientieren. Mit Blick auf die Entwicklung und den Einsatz von neuen Technologien, wie bspw. KI-Systemen, lässt sich ein Handlungsrahmen für die datenschutzrechtlichen Vorgaben ableiten, der den Verantwortlichen zur Orientierung dienen kann.[121]
III. Relevanz für betroffene Personen
96
Den betroffenen Personen stehen aus den Grundsätzen des Art. 5 keine eigenständigen Rechtsansprüche gegen den Verantwortlichen zu. Diese sind vielmehr in den Betroffenenrechten konkretisiert. Macht der Betroffene nach Art. 82 Abs. 1 einen Anspruch wegen eines materiellen oder immateriellen Schaden geltend und kann der Verantwortliche die Einhaltung der Grundsätze nicht nachweisen, geht dies zu seinen Lasten. Die Regelung des Art. 82 Abs. 3 führt de facto zu einer Beweislastumkehr.
IV. Relevanz für Aufsichtsbehörden
97
Die Nachweispflicht hat ihre Bedeutung auch bei Überprüfungen durch die Aufsichtsbehörde. Sie kann gem. Art. 58 Abs. 1 lit. a vom Verantwortlichen die Bereitstellung von Informationen verlangen. Kann der Verantwortliche die Einhaltung der Grundsätze und deren Konkretisierung in der DS-GVO und Normen, für die eine Öffnung besteht nicht nachweisen, liegt ein Datenschutzverstoß vor.
Anmerkungen
Die Autoren danken Herrn stud. iur. David Merten für die Unterstützung bei der Durchsicht des Manuskriptes.
Siehe auch Auernhammer-Kramer Art. 5 Rn. 1, der von der Magna Charta der zulässigen Datenverarbeitung spricht, um den Stellenwert der Norm hervorzuheben; Vgl. auch Sydow-Reimer Art. 5 Rn. 1.
Vgl. dazu Kommentierung zu den Art. 12 ff. DS-GVO.
Vgl. dazu Kommentierung zu § 4 BDSG Rn. 11.
Gierschmann-Buchholtz/Stentzel Art. 5 Rn. 2; Siehe auch Kommentierungen zu Art. 14 DS-GVO Rn. 43 und Art. 22 DS-GVO Rn. 69.
Auernhammer-Kramer Art. 5 Rn. 3; Gola-Schomerus BDSG, § 3a Rn. 8.
Schantz/Wolff-Wolff Das neue Datenschutzrecht, Rn. 382.
Härting Datenschutz-Grundverordnung, Rn. 86; Paal/Pauly-Frenzel Art. 5 Rn. 2; Plath-Plath Art. 5 Rn. 2; a.A. Laue/Kremer Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 136.
Auernhammer-Kramer Art. 5 Rn. 4.
Vgl. hierzu Kommentierung zu Art. 83 Abs. 5 lit. a DS-GVO Rn. 113.
Zum Charakter der Grundsätze vertiefend Roßnagel ZD 2018, 342 ff.
Gierschmann-Buchholtz/Stentzel Art. 5 Rn. 4.
Ehmann/Selmayr-Heberlein
