Privacy-by-Default von Rechenschaftspflicht erfasst

Immer noch ein wenig im Schatten steht die Vorgabe des „Privacy-by-Default“ des Art. 25 II DSGVO. Nun hat der EUGH die Bedeutung dieses Prinzips hervorgehoben, indem klargestellt wurde, dass die Rechenschaftspflicht nach Art. 5 II DSGVO sich eben hierauf bezieht:

In diesem Zusammenhang ist darauf hinzuweisen, dass der für die Verarbeitung Verantwortliche nach dem in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatz der Rechenschaftspflicht nachweisen können muss, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält. Folglich obliegt es der lettischen Steuerverwaltung, nachzuweisen, dass sie gemäß Art. 25 Abs. 2 dieser Verordnung versucht hat, die Menge der zu erhebenden personenbezogenen Daten so gering wie möglich zu halten.

EUGH, C‑175/20

Die Regel des Art.5 II DSGVO ist im Allgemeinen als Beweislast mit teils erheblichen Dokumentationspflichten zu verstehen für denjenigen, der sich auf die Rechtmäßigkeit einer Datenverarbeitung beruft (dazu nur Gola/Heckmann/Pötters DS-GVO Art. 5 Rn. 31-35). Bisher stand bei Art. 25 DSGVO vor allem die Bußgeldbewährung im Vordergrund – man wird nun umdenken müssen und beachten, dass Art. 25 II DSGVO auch bei dem Nachweis ordnungsgemäßer Datenverarbeitung eine tragende Rolle spielt. Selbiges wird für Art. 25 I DSGVO gelten.

Fachanwalt für IT-Recht Jens Ferner