Die Datenschutz-Grundverordnung führt die Grundsätze für die Datenverarbeitung aus der geltenden EU-Datenschutzrichtlinie 95/46/EG, etwa die Zweckbindung, Erforderlichkeit und Datensparsamkeit, in Artikel 5 weitgehend unverändert fort.
Der Zweckbindungsgrundsatz wird ergänzt durch Artikel 6 Absatz 4, welcher Kriterien zur Prüfung kompatibler Zwecke benennt. Sind der ursprüngliche Zweck der Erhebung und der Zweck der Weiterverarbeitung durch die gleiche verantwortliche Stelle kompatibel, dürfen die Daten auf Basis der ursprünglichen Rechtsgrundlage weiterverarbeitet werden.
Mit der neuen “Rechenschaftspflicht” betont die Datenschutz-Grundverordnung die Verantwortlichkeit der Daten verarbeitenden Stellen für die Einhaltung der Prinzipien und dessen Nachweis (Artikel 5 Absatz 2 Datenschutz-Grundverordnung).
Artikel 6 Datenschutz-Grundverordnung zählt die Zulässigkeitstatbestände für die Verarbeitung personenbezogener Daten auf. Auch er entspricht weitgehend geltendem europäischen Datenschutzrecht. Wie bisher bedarf jegliche Verarbeitung personenbezogener Daten einer legitimierenden Rechtsgrundlage – unabhängig davon, ob von der Verarbeitung ein hohes oder geringes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht. Dieses “Verbot mit Erlaubnisvorbehalt” stützt sich auf Artikel 8 der EU-Grundrechtecharta.
Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig:
- mit der Einwilligung der betroffenen Person
oder wenn die Verarbeitung erforderlich ist,
- für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen,
- zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person,
- zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechteund Grundfreiheiten der betroffenen Person überwiegen,
- zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder
- für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen.
Diese Zulässigkeitstatbestände bilden ein abschließendes System; die Mitgliedstaaten dürfen jedoch in einigen Bereichen die Anforderungen an die Rechtmäßigkeit der Verarbeitung durch nationales Datenschutzrecht konkretisieren und präzisieren (Artikel 6 Absatz 2 und 3 Datenschutz-Grundverordnung). Viele Rechtsgrundlagen, insbesondere für die Verarbeitung personenbezogener Daten durch öffentliche Stellen, finden sich daher nach wie vor im allgemeinen oder besonderen Datenschutzrecht auf nationaler Ebene.
Artikel 7 und 8 enthalten konkretisierende Bedingungen für die Einwilligung. Der deutsche Gesetzgeber hat vorerst nicht von der Möglichkeit Gebrauch gemacht, die Altersgrenze für die Einwilligung eines Kindes bei Nutzung der Dienste der Informationsgesellschaft abweichend von der Datenschutzgrund-Verordnung (16 Jahre) zu regeln.
Nach Artikel 9 Datenschutz-Grundverordnung ist – wie bisher – die Verarbeitung besonders sensibler Daten nur ausnahmsweise zulässig. Zu diesen „besonderen Kategorien personenbezogener Daten“ zählen beispielsweise Daten über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die sexuelle Orientierung, genetische und biometrische Daten und Gesundheitsdaten. Um diese Daten verarbeiten zu können, bedarf es stets einer Rechtsgrundlage nach Artikel 6 Absatz 1 und zusätzlich eines Ausnahmetatbestandes vom Verbot der Verarbeitung sensibler Daten. Die Ausnahmetatbestände finden sich in Artikel 9 Absatz 2 Datenschutz-Grundverordnung und ergänzend im nationalen Datenschutzrecht (z.B. in § 22 BDSG 2018 oder aber auch im bereichsspezifischen Fachrecht des Bundes).
Artikel 10 Datenschutz-Grundverordnung stellt personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten unter einen besonderen Schutz. Sie dürfen nur unter behördlicher Aufsicht verarbeitet werden oder wenn dies gesetzlich vorgesehen ist.
Artikel 11 Datenschutz-Grundverordnung bestimmt, dass Daten nicht allein deshalb gespeichert werden müssen, um eine Person identifizieren zu können (z.B. um eine Auskunft geben zu können). Dies kann z.B. dazu führen, dass bei dem Foto eines Bauwerks, auf dem unbekannte Personen zu sehen sind, nicht Daten wie Namen, Adresse etc. erhoben werden müssen, um die abgebildete Person zu informieren.