Treu und Glauben

Der Grundsatz von Treu und Glauben (englisch „fairness“) ist in Art. 5 Abs. 1 lit. a DSGVO neben der Rechtmäßigkeit und der Transparenz als einer der tragenden Verarbeitungsgrundsätze verankert. Er verlangt, dass der Verantwortliche personenbezogene Daten in einer Weise verarbeitet, die gegenüber der betroffenen Person fair und redlich ist und ihre berechtigten Erwartungen nicht enttäuscht. Daten dürfen also nicht heimlich, irreführend oder zum Nachteil der betroffenen Person in einer Weise erhoben oder genutzt werden, mit der sie vernünftigerweise nicht rechnen musste.

Treu und Glauben steht in engem Zusammenhang mit der Transparenz: Eine Verarbeitung kann nur dann fair sein, wenn die betroffene Person weiß, wer ihre Daten zu welchem Zweck verarbeitet. Erwägungsgrund 39 der DSGVO konkretisiert dies und fordert, dass für natürliche Personen Transparenz dahingehend besteht, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang dies geschieht. Der Grundsatz wirkt damit als Auslegungsmaßstab für die übrigen Pflichten der DSGVO, etwa die Informationspflichten nach Art. 13 und 14 sowie die Ausgestaltung von Einwilligungen.

In der Praxis ist Treu und Glauben kein abstraktes Ideal, sondern ein justiziabler Maßstab, an dem Aufsichtsbehörden und Gerichte konkrete Verarbeitungen messen. Dunkle Muster („dark patterns“) in Einwilligungsdialogen, versteckte Profilbildung, eine über den mitgeteilten Zweck hinausgehende Nutzung oder ungleiche Machtverhältnisse zu Lasten der betroffenen Person können einen Verstoß gegen den Grundsatz begründen – selbst wenn formal eine Rechtsgrundlage vorliegt. Verantwortliche sollten den Grundsatz daher bereits bei der Konzeption von Verarbeitungen (Privacy by Design) berücksichtigen und ihre Datenflüsse regelmäßig auf Fairness und Erwartungskonformität überprüfen.