Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

DSGVO: Grundsätze der Datenverarbeitung

Die Datenschutz-Grundverordnung (DSGVO) stellt eine Reihe von Grundsätzen auf, nach denen sich die Verarbeitung personenbezogener Daten richten soll. Diese sind in Art. 5 DSGVO geregelt. Die Grundsätze sind von allen, die personenbezogene Daten verarbeiten, zu beachten. Verstöße können mit einem Bußgeld geahndet werden oder sonstige Maßnahmen der Aufsichtsbehörden nach sich ziehen.

In diesem Beitrag erfahren Sie, welche Grundsätze der Verarbeitung personenbezogener Daten es gibt und wie sie umzusetzen sind.

1.) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben ( 5 Abs. 1 lit.a DSGVO)

Rechtmäßigkeit bedeutet, dass Daten nur verarbeitet werden dürfen, wenn es dafür eine Rechtsgrundlage gibt. Es muss also mindestens eine der Rechtsgrundlagen, die in Art. 6 DSGVO genannt sind, gegeben sein.

Die Verarbeitung nach Treu und Glauben bedeutet konkret, dass die personenbezogenen Daten nur so verarbeitet werden dürfen, wie sie bei der Erhebung angegeben wurden. Betroffene müsse darauf vertrauen können, dass mit ihren Daten nichts passiert, worin sie keine Einwilligung erteilt haben.

Durch das Transparenzgebot soll eine heimliche Verarbeitung von Daten ausgeschlossen werden. Darüber hinaus soll erreicht werden, dass die betroffene Person über die Erhebung personenbezogener Daten umfassend informiert wird. Diese Informationen müssen in leicht zugänglicher Art und Weise und in einer klaren verständlichen Sprache abgefasst sein.

2.) Zweckbindung (Abs. 1 lit. b)

Das Gebot der Zweckbindung soll sicherstellen, dass Daten zu einem eindeutigen, festgelegten Zweck verarbeitet werden dürfen und die Daten nur für diesen konkreten Zweck verwendet werden dürfen. Der Grundgedanke besteht darin, dass bei der Verarbeitung der personenbezogenen Daten der Zweck dieser Verarbeitung im Vorfeld festgelegt werden muss. Dies bedeutet, dass bereits bei der Erhebung personenbezogener Daten die betroffene Person darüber informiert werden soll, wofür die Daten verwendet werden. Eine schwammige Formulierung wie „Werbung“ genügt nicht, sondern bedarf der Konkretisierung. Falls die Daten zu einem anderen Zweck weitergegeben werden, bedarf es hierfür einer rechtlichen Grundlage oder einer Einwilligung.

3.) Datenminimierung (Abs.1 lit. c)

Der Grundsatz der Datenminimierung bedeutet, dass personenbezogene Daten sparsam erhoben werden müssen d.h. nur

  • für den Zweck angemessen sind und
  • für den Zweck erheblich und relevant sind.

Für die ausgewählten Datenkategorien gilt:

  • Die personenbezogenen Daten sind so zu erheben und zu verarbeiteten, dass sie für den angegebenen Zweck passen, aber nicht darüber hinaus
  • Der Verantwortliche muss sich bei der Erhebung personenbezogener Daten auf die Informationen beschränken, die für den Zweck notwendig sind.

Der Verantwortliche muss sicherstellen, dass

  • keine personenbezogenen Daten verwendet werden, ohne dass gewährleistet werden kann, dass diese sachlich richtig sind,
  • die verarbeiteten Daten auf den neuesten Stand sind und
  • unrichtige personenbezogene Daten unmittelbar gelöscht oder korrigiert werden.

Zu beachten ist, dass der Verantwortliche geeignete Maßnahmen ergreifen muss, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen. Die Beurteilung, ob eine Maßnahme angemessen ist, hängt vom Einzelfall ab. Es müssen nicht alle Maßnahmen ausgeschöpft werden, sondern nur die finanziell und personell vertretbaren Schritte unternommen werden.

4.) Richtigkeit der Datenverarbeitung (Abs.1 lit. d)

Der Verantwortliche muss sicherstellen, dass

  • keine personenbezogenen Daten verwendet werden, ohne dass gewährleistet werden kann, dass diese sachlich richtig sind,
  • die verarbeiteten Daten auf den neuesten Stand sind und
  • unrichtige personenbezogene Daten unmittelbar gelöscht oder korrigiert werden.

Zu beachten ist, dass der Verantwortliche geeignete Maßnahmen ergreifen muss, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen. Die Beurteilung, ob eine Maßnahme angemessen ist, hängt vom Einzelfall ab. Es müssen nicht alle Maßnahmen ausgeschöpft werden, sondern nur die finanziell und personell vertretbaren Schritte unternommen werden.

5.) Speicherbegrenzung (Abs. 1 lit e)

Personenbezogene Daten unterliegen einer Speicherbegrenzung. Sie dürfen also nicht rein vorsorglich dauerhaft gespeichert werden. Die Speicherfrist muss auf das unbedingt erforderliche Mindestmaß beschränkt bleiben.

Das Mindestmaß ergibt sich zum Teil aus (steuerrechtlichen) Gesetzen, zum Teil aus dem Zusammenhang. So sieht das Steuerrecht z. B. für Rechnungen Mindest-Aufbewahrungsfristen vor.

Wenn der Zweck, für den sie eingeholt wurden, weggefallen ist, sind die personenbezogenen Daten zu löschen, z. B. wenn sich nach einer Kontaktaufnahme per E-Mail herausstellt, dass es zu keiner Geschäftsbeziehung kommt. In diesem Fall fehlt der Datenspeicherung eine gesetzliche Grundlage.

Ausnahmen von der Speicherbegrenzung gelten für Daten, die zu Archivzwecken, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.

6.) Integrität & Vertraulichkeit (Abs. 1 lit. f)

Unter den Grundsatz der Integrität und Vertraulichkeit fallen in erster Linie technische Maßnahmen zur Datensicherung. Der verantwortliche Unternehmer muss gewährleisten, dass Unbefugte

  • keinen Zugang zu den Daten haben und
  • weder die Daten noch die datenverarbeitenden Geräte (z. B. Server) benutzen können.

Weiterhin muss der Verantwortliche die Daten schützen vor

  • unbeabsichtigtem Verlust
  • unbeabsichtigter Zerstörung oder
  • unbeabsichtigter Schädigung.

Die DSGVO verlangt keine 100%ige Sicherheit, sondern die Gewährleistung einer angemessenen Sicherheit durch geeignete technische und organisatorische Maßnahmen (z. B. durch Verschlüsselung der Webseiten oder Backups).

 7.) Rechenschaftspflicht (Art. 5 Abs. 2)

Die Rechenschaftspflicht besagt, dass der Verantwortliche für die Einhaltung der Grundsätze die in Art. 5 Abs. 1 geregelt sind, verpflichtet sind und deren Einhaltung nachweisen können muss. Bisher mussten Unternehmen sich eher passiv prüfen lassen und konnten ihrer Rechenschaftspflicht nachkommen, in dem sie nachweisen konnten, dass ihre datenschutzrelevanten Prozesse schadenfrei ablaufen. Die DSGVO hat eine „Beweislastumkehr“ eingeführt und Unternehmen müssen aktiv und unabhängig davon, ob überhaupt ein Schaden entstanden ist, nachweisen, dass ihr Datenschutz funktioniert. Es genügt also nicht mehr, die Prozesse im Griff zu haben. Stattdessen ist ihre Funktionsfähigkeit aktiv nachzuweisen.

Fazit

Proaktiver Datenschutz ist, seit die DSGVO gilt, unumgänglich geworden. Im Unternehmen muss sichergestellt werden, dass die datenschutzrelevanten Prozesse DSGVO-konform ablaufen und der Nachweis darüber jederzeit erbracht werden kann. Dabei gilt, dass die Maßnahmen hierzu angemessen sein müssen. Es empfiehlt sich die Maßnahmen nicht nur einmalig festzulegen, sondern regelmäßig zu überprüfen und zu aktualisieren.

 


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO
Die Datenschutz Grundverordnung kommt
Stichtag 25. Mai 2018

92% haben die DSGVO noch nicht umgesetzt. Ihnen drohen teure Abmahnungen, Bußgelder bis zu 20 Mio. Euro und Ärger mit Ihren Kunden.

Handeln Sie jetzt!

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com