Top Themen im Datenschutz:
Die sieben Datenschutzgrundsätze nach Art. 5 DSGVO bilden das Fundament für jede rechtmäßige Datenverarbeitung in der EU. Für die rechtssichere Umsetzung dieser Prinzipien setzen viele Unternehmen auf einen externen Datenschutzbeauftragten.
Die Datenschutz-Grundsätze der DSGVO sind verbindliche Regeln, die festlegen, wie personenbezogene Daten verarbeitet werden dürfen. Sie gelten für alle Unternehmen, Behörden und Organisationen, die Daten von EU-Bürgern verarbeiten. Die sieben Grundsätze sind in Art. 5 Abs. 1 DSGVO verankert und bilden die Basis für sämtliche Datenschutzmaßnahmen. Artikel 5 der Datenschutz-Grundverordnung definiert sieben zentrale Prinzipien, die Unternehmen bei jeder Datenverarbeitung einhalten müssen – von der Erhebung bis zur Löschung. Verstöße gegen diese Grundsätze können empfindliche Bußgelder nach sich ziehen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDer erste Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO verlangt, dass jede Datenverarbeitung auf einer rechtmäßigen Grundlage basiert. Das bedeutet konkret: Sie benötigen entweder eine Einwilligung der betroffenen Person, einen Vertrag, eine gesetzliche Verpflichtung oder ein berechtigtes Interesse. Die zulässigen Rechtsgrundlagen sind in Art. 6 DSGVO abschließend geregelt.
Transparenz bedeutet, dass betroffene Personen jederzeit wissen müssen, welche Daten über sie erhoben werden und zu welchem Zweck. Alle Informationen zur Datenverarbeitung müssen in klarer und einfacher Sprache bereitgestellt werden.
Ihr Cookie-Banner muss verständlich erklären, welche Cookies gesetzt werden und wofür. Ein „Alle akzeptieren“-Button ohne Erläuterung reicht nicht aus. Nutzer müssen die Wahl haben und verstehen, was sie akzeptieren.
Nach Art. 5 Abs. 1 lit. b DSGVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Weiterverarbeitung zu anderen Zwecken ist grundsätzlich unzulässig. Das Bundesverfassungsgericht hat bereits 1983 im Volkszählungsurteil klargestellt: Eine „Vorratsspeicherung auf unbestimmte Zeit“ ist nicht erlaubt. Der Zweck muss vor der Datenerhebung festgelegt werden.
Sie sammeln E-Mail-Adressen für den Versand von Rechnungen. Diese Adressen dürfen Sie nicht einfach für Marketing-Newsletter verwenden. Dafür benötigen Sie eine separate Einwilligung. Eine Weiterverarbeitung ist zulässig für Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschung sowie statistische Zwecke.
Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) besagt: Erheben Sie nur Daten, die Sie wirklich brauchen. Die Faustregel lautet: dem Zweck angemessen, erheblich und auf das Notwendige beschränkt.
Für einen Newsletter benötigen Sie die E-Mail-Adresse. Aber brauchen Sie wirklich das Geburtsdatum, die Telefonnummer oder den Beruf? In den meisten Fällen nicht. Jedes zusätzliche Pflichtfeld im Formular muss durch den Verarbeitungszweck gerechtfertigt sein. Fragen nach Familienstand, Kinderwunsch oder Religionszugehörigkeit verstoßen gegen die Datenminimierung – sie sind für die Bewerberauswahl nicht erforderlich.
Art. 5 Abs. 1 lit. d DSGVO fordert, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.
Kundenadressdaten müssen aktuell sein, damit Rechnungen und Lieferungen ankommen. Implementieren Sie Prozesse, über die Betroffene ihre Daten selbst aktualisieren können – etwa über ein Kundenportal.
Wichtig: Die Aktualisierungspflicht bezieht sich auf Daten, die für die Vertragserfüllung oder andere Zwecke relevant sind. Sie müssen nicht proaktiv alle gespeicherten Informationen auf Aktualität prüfen.
Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) ist einfach: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Entfällt der Zweck, müssen die Daten gelöscht oder anonymisiert werden.
Praxisbeispiel Bewerberdaten: Nach Abschluss des Bewerbungsverfahrens müssen Unterlagen abgelehnter Bewerber gelöscht werden – in der Regel nach 6 Monaten, um sich gegen mögliche AGG-Klagen zu schützen.
Nach Vertragsende gelten handels- und steuerrechtliche Aufbewahrungsfristen (6-10 Jahre). Danach ist eine Löschung erforderlich. Erstellen Sie ein Löschkonzept, das für jede Datenkategorie klare Fristen definiert.
Art. 5 Abs. 1 lit. f DSGVO verlangt angemessene Sicherheit durch technische und organisatorische Maßnahmen (TOM). Daten müssen vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung geschützt werden.
Konkrete Maßnahmen nach Art. 32 DSGVO:
Praxisbeispiel: Verschlüsseln Sie E-Mails mit sensiblen Daten. Nutzen Sie Zugangskontrollen und vergeben Sie Berechtigungen nach dem Need-to-know-Prinzip. Führen Sie regelmäßige Backups durch und schulen Sie Ihre Mitarbeiter.
Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) ist der siebte und oft unterschätzte Grundsatz: Sie müssen nicht nur alle Grundsätze einhalten – Sie müssen dies auch nachweisen können.
Das bedeutet konkret:
Warum ist das wichtig? Bei Beschwerden oder Prüfungen durch die Aufsichtsbehörde (Art. 58 Abs. 1 lit. a DSGVO) müssen Sie belegen können, dass Sie DSGVO-konform arbeiten. Auch bei Schadensersatzklagen liegt die Beweislast bei Ihnen.
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
Verstöße gegen die Datenschutzgrundsätze nach Art. 5 DSGVO gehören zu den schwerwiegendsten DSGVO-Verletzungen. Art. 83 Abs. 5 DSGVO sieht dafür Bußgelder vor:
Beispiele aus der Praxis:
Die Aufsichtsbehörden prüfen bei Beschwerden oder Datenpannen systematisch, ob die Grundsätze eingehalten wurden. Der GDPR Enforcement Tracker dokumentiert alle verhängten Bußgelder europaweit.
Die Umsetzung der Datenschutzgrundsätze erfordert ein systematisches Vorgehen. Ein Datenschutzmanagementsystem (DSMS) hilft dabei, alle Anforderungen strukturiert zu erfüllen und die Rechenschaftspflicht zu dokumentieren.
Empfohlene Schritte:
Das DSMS sollte kein isoliertes System sein, sondern integraler Bestandteil der Arbeit Ihres Datenschutzbeauftragten. Mit dem Compliance Hub können Sie alle Verarbeitungsprozesse und Rechtsgrundlagen zentral dokumentieren und überblicken. So vermeiden Sie Doppelarbeit und stellen eine vollumfängliche DSGVO-Compliance sicher.
Die sieben Grundsätze sind: Rechtmäßigkeit, Treu und Glauben, Transparenz (1), Zweckbindung (2), Datenminimierung (3), Richtigkeit (4), Speicherbegrenzung (5), Integrität und Vertraulichkeit (6) sowie Rechenschaftspflicht (7). Sie sind in Art. 5 DSGVO festgelegt. Der BfDI bietet weitere Erläuterungen.
Jedes Unternehmen, jede Behörde und jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet – unabhängig von Größe oder Branche.
Durch lückenlose Dokumentation: Verarbeitungsverzeichnis, dokumentierte TOM, nachweisbare Einwilligungen und regelmäßige Überprüfungen. Ein DSMS unterstützt Sie dabei.
Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Die Höhe richtet sich nach Schwere, Dauer und Art des Verstoßes.
Ja, die DSGVO gilt größenunabhängig. Allerdings gibt es Erleichterungen, etwa bei der Pflicht zur Benennung eines Datenschutzbeauftragten (unter 20 Mitarbeiter, die regelmäßig personenbezogene Daten verarbeiten).
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen