Der Schutz personenbezogener Daten, der schon immer wichtig war, ist angesichts der technologischen Entwicklung und des Wertes von Informationen in der heutigen Gesellschaft zu einer Notwendigkeit auf allen Ebenen geworden.
In Anbetracht der Geschwindigkeit, mit der Informationen durch technologische Mittel verbreitet werden, und der Art und Weise, wie sich die Verarbeitung personenbezogener Daten entwickelt hat, ist die einfache Aufnahme des Rechts auf Schutz personenbezogener Daten in den Inhalt des Rechts auf Privatsphäre nicht mehr ausreichend.
Daher war es notwendig, spezielle Regelungen für die Verarbeitung und den Schutz personenbezogener Daten und deren Anwendung in allen Rechtsbereichen zu entwickeln.
Grundsätze des Schutzes personenbezogener Daten
Zum besseren Verständnis der Rechte und Pflichten, die sich aus der Verarbeitung personenbezogener Daten durch Arbeitgeber ergeben, ist eine kurze Analyse der in der Verordnung entwickelten Grundsätze des Schutzes personenbezogener Daten erforderlich.
Der Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten
Dieser Grundsatz besagt, dass jede Verarbeitung ab dem Zeitpunkt des Besitzes der Daten auf einer Rechtsgrundlage erfolgen muss.
Artikel 6 der Datenschutz-Grundverordnung regelt mehrere Bedingungen für die Feststellung der Rechtsnatur der Verarbeitung.
Die Verarbeitung ist also rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
Diese Rechtsgrundlage muss entweder im Unionsrecht oder im für den Betreiber geltenden nationalen Recht vorgesehen sein.
Der Grundsatz der Gerechtigkeit
Es besteht ein enger Zusammenhang zwischen der Rechtmäßigkeit der Verarbeitung personenbezogener Daten und dem Grundsatz der Gerechtigkeit. Daher ist es notwendig, Maßnahmen zu ergreifen, die die Rechtmäßigkeit der Verarbeitung sicherstellen, und Maßnahmen zu ergreifen, die eine faire Verarbeitung im Hinblick auf das Recht der Arbeitnehmer auf Achtung ihrer Privatsphäre und die wirtschaftlichen, organisatorischen und funktionalen Interessen der Betreiber – der Arbeitgeber – gewährleisten.
Der Grundsatz der Transparenz
In Anbetracht dieses Grundsatzes wird den Arbeitnehmern die Möglichkeit geboten, zu erfahren, welche Daten oder Datenkategorien verarbeitet werden, wer im Besitz der personenbezogenen Daten ist, zu welchen Zwecken die Daten verarbeitet werden, wie lange sie gespeichert werden und welche Pflichten und Verantwortlichkeiten der Betreiber hat.
So wird erneut darauf hingewiesen, wie wichtig es ist, den Arbeitnehmer über die verarbeiteten Daten und den Zweck ihrer Verarbeitung zu informieren. Das so genannte „Recht auf Vergessenwerden“ wird ebenfalls berücksichtigt, d. h. das Recht des Arbeitnehmers, seine Einwilligung zu widerrufen und die Löschung seiner Daten zu verlangen, indem er der Verarbeitung widerspricht.
Der Grundsatz der Verantwortung
Absatz (2) von Art. 5 der Allgemeinen Verordnung besagt, dass „der Betreiber für die Einhaltung (der Verarbeitungsbedingungen) verantwortlich ist und diese Einhaltung nachweisen kann“.
So ist der Betreiber Arbeitgeber verantwortlich für die Einhaltung aller Grundsätze in der Verarbeitung personenbezogener Daten unterstrichen werden. Es wird auch ausdrücklich darauf hingewiesen, dass er für den Nachweis dieser Einhaltung verantwortlich ist, wobei der Nachweis der Verletzung seiner Rechte nicht an den Arbeitnehmer fällt.
Der Betreiber ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der Verordnung erfolgt, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten der Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere berücksichtigt. Diese Maßnahmen werden bewertet und, falls erforderlich, verbessert.
Der Grundsatz der Verhältnismäßigkeit und der Erforderlichkeit
Nach den Bestimmungen der allgemeinen Datenschutzverordnung setzt der Grundsatz der Verhältnismäßigkeit und der Notwendigkeit voraus, dass jede Verarbeitung nur insoweit erfolgt, als sie zur Erfüllung des rechtmäßigen Zwecks, für den sie durchgeführt wird, erforderlich ist und in einem angemessenen Verhältnis dazu steht.
Im Arbeitsrecht wird dieser Grundsatz dadurch konkretisiert, dass der Arbeitnehmer nicht nach Daten gefragt werden darf, die keinen direkten Bezug zur Arbeit oder zu seinen beruflichen Fähigkeiten aufweisen.
Das Prinzip der Datenminimierung
Die vom Betreiber verarbeiteten personenbezogenen Daten müssen den Kriterien von Artikel 5 Buchstabe c) der Verordnung entsprechen, dafür erheblich sein und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein.
Der Grundsatz des impliziten Datenschutzes
Dieser Grundsatz unterstreicht die Notwendigkeit, personenbezogene Daten zu schützen, auch wenn diese Verpflichtung nicht ausdrücklich vorgesehen ist. Wenn der Betreiber also in den Besitz personenbezogener Daten gelangt, muss er von Anfang an deren Schutz und die Achtung der Rechte der Person berücksichtigen.
Der Grundsatz der Gewährleistung des Datenschutzes
In enger Verbindung mit dem Grundsatz des impliziten Datenschutzes setzt dieser Grundsatz voraus, dass die Wahrung der Vertraulichkeit und der Schutz personenbezogener Daten ab dem Zeitpunkt der Einrichtung der Verarbeitungsmittel und der Verarbeitung selbst in die Verantwortung des Betreibers fällt.
Zugang der Öffentlichkeit zu amtlichen Dokumenten als Grundprinzip
Jede interessierte Person hat das Recht auf Zugang zu den in amtlichen Dokumenten enthaltenen Informationen oder Daten, die grundsätzlich öffentlich sind. Das Recht der Öffentlichkeit auf Zugang zu diesen Dokumenten kann zum Schutz des Rechts auf Leben und anderer berechtigter Interessen eingeschränkt werden.