Im Datenschutzrecht gilt ein sehr besonderes und im gesamten deutschen Recht selten anzutreffendes Prinzip des „Verbots mit Erlaubnisvorbehalts“. Grundsätzlich ist es eigentlich immer so, dass man alles machen kann, solange es nicht verboten ist. Im Datenschutzrecht ist es jedoch genau anders herum: Man darf nichts, es sei denn, es ist erlaubt.

Und um die Anforderungen noch höher anzusiedeln, muss im Datenschutzrecht nun auch noch die Rechenschaftspflicht berücksichtig werden, das heißt, die Verantwortlichen müssen nicht nur die gesetzlichen Vorgaben vollumfänglich einhalten, sondern diese Einhaltung auch jederzeit auf Nachfrage nachweisen können.

Dies hat für die Unternehmen erhebliche Auswirkungen auf deren Umgang mit personenbezogenen Daten im internen und externen unternehmerischen Handeln. Das Prinzip gibt vor, dass niemand mit personenbezogenen Daten anderer umgehend darf, d.h. diese erheben, speichern oderweitergeben darf, wenn er nicht z.B. über eine konkrete Einwilligung verfügt, eine gesetzliche Grundlage ihn dazu ermächtigt und/oder verpflichtet, er die Daten aufgrund eines Vertrags mit dem Betroffen erhalten hat (inkl. vorvertraglichen Handlungen) oder er sie zur Wahrung berechtigter Interessen benötigt. Dies sind die 4 wichtigsten Rechtfertigungsmöglichkeiten, die das Gesetz normiert. Bereits hier ist jedoch größte Vorsicht geboten, denn, wie schon angedeutet, sind hierzu nicht nur alle gesetzlichen Vorgaben jeweils vollumfänglich einzuhalten, sondern deren Einhaltung muss auch praktisch jederzeit durch die Unternehmen z.B. gegenüber den Aufsichtsbehörden tatsächlich auch nachgewiesen werden können.

Des Weiteren ist bei den Gründen aus der Einwilligung, eines Vertrags (oder bei der Erfüllung vorvertraglicher Pflichten) oder auch bei einer Interessenabwägung immer zuerst vorher ein konkreter Zweck der jeweiligen Datenerhebungen und -verarbeitungen genau festzulegen. In der weiteren Folge dürfen die personenbezogenen Daten dann auch ausschließlich für diese jeweilige konkrete Zweck verwendet werden.

Allein schon die legitime Festlegung eines solchen Zweckes für praktisch jedes personenbezogene Datum. stellt in der Praxis, insbesondere auch bei größeren und umfangreichen Datensammlungen und umfangreichen Prozessen und Verfahren in den Unternehmen, eine enorme Hürde dar.