Datenschutz ABC: G wie Grundsätze der Datenverarbeitung

Die DS-GVO enthält in Art. 5 sechs Grundsätze, die der Verantwortliche gewährleisten muss: 

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit 
• Rechenschaftspflicht

Nachfolgend möchten wir einen kurzen Überblick geben, was diese Grundsätze bedeuten und was der Verantwortliche zu beachten hat.

Gemäß Art. 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).
Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten auf Grundlage einer zulässigen Rechtsgrundlage verarbeitet werden. Diese kann sich aus der Datenschutzgrundverordnung oder weiterer Gesetze ergeben. Rechtsgrundlage aus der DS-GVO kann z. B. die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist oder die Durchführung vorvertraglicher Maßnahmen sein.

Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffene Person umfassend über die Verarbeitung informiert wurde.

Der Grundsatz der Transparenz setzt voraus, dass die Informationen zur Verarbeitung der personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache verfasst sind. Diese Information beinhaltet insbesondere Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung sowie sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die Betroffenen gewährleisten. Dazu gehört auch die Aufklärung über die Betroffenenrechte.

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; (Art. 5 Abs. 1 lit. b DS-GVO).

Dies bedeutet, dass personenbezogenen Daten nicht ohne weiteres für zusätzliche Zwecke als den ursprünglich erhobenen verarbeitet werden dürfen.

Datenminimierung bedeutet gemäß Art. 5 Abs. 1 Lit. c DS-GVO, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen.
Es dürfen nur solche Daten erhoben und verarbeitet werden, die für die Durchführung der Zwecke der Verarbeitung notwendig sind.

Personenbezogene Daten müssen „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden“ (Art. 5 Abs. 1 lit. d DS-GVO).

Personenbezogene Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;“ (Art. 5 Abs. 1 lit e DS-GVO). Personenbezogenen Daten sind zu löschen, sobald der Zweck der Verarbeitung erloschen ist und es keine weiteren Anforderungen zur Aufbewahrung gibt (z. B. Aufbewahrungspflichten).

Personenbezogene Daten müssen „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“ (Art. 5 Abs. 1 lit. f DS-GVO). Personenbezogenen Daten müssen durch technisch-organisatorische Maßnahmen vor unberechtigter Veränderung sowie unberechtigtem Zugriff geschützt werden.

„Der Verantwortliche ist für die Einhaltung des Art. 5 Abs. 1 DS-GVO verantwortlich und muss dessen Einhaltung nachweisen können“ (Art. 5 Abs. 2 DS-GVO).

Zur Rechenschaftspflicht gehört die umfangreiche Dokumentation aller Datenverarbeitungen im Unternehmen zum Beispiel über das Verzeichnis von Verarbeitungstätigkeiten.

Zusammenfassend lässt sich nun sagen, dass es neben der Rechtsgrundlage und des eindeutig definierten Verarbeitungszwecks noch einige Dinge mehr gibt, die einem in Bezug auf Datenschutz das Leben leichter macht. Wenn ich eine Erlaubnis habe, personenbezogene Daten zu verarbeiten und einen klaren Verwendungszweck definiert habe, dann macht es durch aus Sinn, mir darüber Gedanken zu machen, ob die verarbeiteten Daten auch richtig sind und richtig verarbeitet werden. Wenn ich dies klar habe, dann fällt es mir auch leichter, die Betroffenen darüber zu informieren. Weiterhin ist es gut, wenn ich weiß, welche Daten ich tatsächlich brauche und dann auch nur diese erhebe, ohne dass ich große Datenmengen irgendwo in der Ecke herumliegen habe, die ich nicht brauche - und dann eventuell vergesse, dass ich sie habe. Das wird vor allem dann problematisch, wenn es an das Löschen geht. Ein gutes Löschkonzept fällt viel leichter, wenn ich bereits im Vorfeld weiß, was ich brauche, wie lange ich es brauche und wo es alles liegt, damit ich am Ende gut und vollständig löschen kann. Auf diese Weise können Datenverarbeitungen und Prozesse gut strukturiert und organisiert werden. Behalten Sie alles gut im Blick!

Sollten Sie doch einmal den Überblick über Ihre Daten und deren Schutz verlieren, unterstützen wir Sie gerne: Sie haben Fragen zum Datenschutz? Wir haben Antworten für Sie!