Artikel 5 der Datenschutz-Grundverordnung enthält die Grundsätzprinzipien, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen, z.B. Transparenz, Zweckbindung, Datenminimierung, und Rechenschaftspflicht. Zu theoretisch? Hier ein Beispiel mit Praxisbezug: Cookie Banner & Nudging.
Als Verantwortlicher sind Sie dafür zuständig, dass die in Artikel 5 DSGVO genannten Rechtsgrundsätze eingehalten werden. Dazu gehören: Rechtmäßigkeit der Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht.
Personenbezogene Daten müssen fair und verständlich verarbeitet werden. Das nennt man auch „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Die Verarbeitung muss mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage erfolgen. Das kann sich aus der DSGVO oder sonstigem Unionsrecht oder dem Recht der Mitgliedstaaten ergeben. Zum Beispiel darf der Verantwortliche die Daten verarbeiten, wenn er dazu rechtlich verpflichtet ist, wenn die betroffene Person Vertragspartei ist oder wenn vorvertragliche Maßnahmen auf Antrag der betroffenen Person erfolgen. Das steht in Artikel 40 der DSGVO.
Eine Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffene Person weiß, dass Daten über sie erhoben werden und wie das passiert. Außerdem muss sie darüber informiert werden, was mit den Daten passiert. Das steht in Punkt 38 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Für Privatpersonen sollte klar sein, welche Daten von ihnen erhoben, verwendet, abgefragt oder sonst wie verarbeitet werden. Alle Infos und Mitteilungen über die Verarbeitung deiner Daten müssen leicht zugänglich und verständlich sein. Sie sollten in einer klaren und einfachen Sprache verfasst sein. Vor allem geht es um Informationen darüber, wer für die Verarbeitung verantwortlich ist, welche Daten wofür verwendet werden und welche Rechte die betroffenen Personen haben. Sie haben das Recht, zu erfahren, welche Daten über Sie gespeichert sind (Artikel 39 Satz 2 der Datenschutz-Grundverordnung).
Sie haben bereits einen externen Datenschutzbeauftragten und möchten einen schnellen Preis-Leistungs-Vergleich? Nutzen Sie unsere Rechner für eine individuelle Preiskonfiguration.
Wenn die Daten im öffentlichen Interesse weiterverarbeitet werden, zum Beispiel für Archivierung, wissenschaftliche oder historische Forschung oder Statistik, ist das laut Art. 89 Abs. 1 DSGVO nicht als mit den ursprünglichen Zwecken unvereinbar anzusehen (Art. 5 Abs. 1 lit. b DSGVO).
Das Bundesverfassungsgericht hat 1983 in einem Volkszählungsurteil festgelegt, dass eine „Vorratsspeicherung von Daten auf unbestimmte Zeit“ nicht zulässig ist. Deshalb ist es so wichtig, schon vor der Erhebung personenbezogener Daten festzulegen, wozu die Daten verwendet werden sollen.
Wenn Daten zu einem anderen Zweck verarbeitet werden sollen, muss es dafür eine gesetzliche Grundlage geben.
Die Daten müssen gemäß Art. 5 Abs. 1 Buchst. c DSGVO so gespeichert werden, dass sie dem Zweck angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Das heißt, dass nur Daten erhoben und verarbeitet werden dürfen, die für den konkreten Zweck relevant sind und für die Erfüllung notwendig sind.
Die Datenverarbeitung muss dafür sorgen, dass alle personenbezogenen Daten korrekt sind und auf dem neuesten Stand gehalten werden. Das heißt, alle nötigen Schritte müssen unternommen werden, um personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung falsch sind, sofort zu löschen oder zu berichtigen (Art. 5 Abs. 1 Buchst. d DSGVO).
Die Daten sollten immer auf dem neuesten Stand sein und vor unerlaubter Veränderung geschützt werden.
Der Begriff „erforderlichenfalls” bedeutet, dass nur die Daten auf dem neuesten Stand sein müssen, die für die Erfüllung der vertraglichen Pflichten gebraucht werden.
Personenbezogene Daten müssen so gespeichert werden, dass eine Identifizierung der betroffenen Personen nur so lange möglich ist, wie dies für die Zwecke der Verarbeitung erforderlich ist. Wenn die Speicherung länger als nötig dauert, kann eine Ausnahme gemacht werden, wenn das für Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke notwendig ist.
Dafür müssen aber geeignete Maßnahmen zum Schutz der Rechte getroffen werden.
Es ist wichtig, alle Mittel zu berücksichtigen, die genutzt werden, um eine Person zu identifizieren. So kann festgestellt werden, ob eine Person identifizierbar ist. Das kann zum Beispiel das Aussondern sein.
Wenn der Zweck wegfällt, müssen die Daten gelöscht oder anonymisiert werden. Ausnahmen sind zum Beispiel Statistik, Archiv oder Forschung.
Es ist gut, wenn der Verantwortliche Fristen für die Löschung oder Überprüfung der Daten festlegt (Satz 10 des Erwägungsgrunds 39 zur Datenschutzgrundverordnung).
Personenbezogene Daten müssen gemäß Art. 5 Abs. 1 Buchst. f DSGVO so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist.
Das heißt, die Daten müssen vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt werden. Die Sicherheit wird durch geeignete technische und organisatorische Maßnahmen gewährleistet.
Die Daten müssen so verarbeitet werden, dass sie nicht verloren gehen oder von Unbefugten gelesen werden können. Dafür muss man sichere technische und organisatorische Maßnahmen treffen. Dabei muss auch darauf geachtet werden, was technisch möglich ist, wie hoch das Risiko ist und wie schwer eine mögliche Verletzung von Betroffenenrechten und -freiheiten wäre.
Das bedeutet also, Unbefugte sollen keinen Zugang zu Daten und zu Geräten haben, mit denen die Daten verarbeitet werden. Das steht auch in Erwägungsgrund 39, Satz 12 der Datenschutzgrundverordnung.
Die Verantwortliche Stelle muss dafür sorgen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem muss sie nachweisen können, dass sie sich daran hält (siehe Artikel 5 Abs. 2 der Datenschutzgrundsätze). Das gilt übrigens auch für den Fall, dass Daten im Auftrag verarbeitet werden.
Wenn es zu einer Schadenersatzklage kommt, muss der Verantwortliche nachweisen können, dass er nicht rechtswidrig und schuldhaft gehandelt hat. Dafür muss er entsprechende Nachweise vorlegen können.
Die Aufsichtsbehörde kann vom Verantwortlichen verlangen, dass er ihr seine Dokumentation zeigt. Das steht in Art. 58 Abs. 1 Buchst. a DSGVO.
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
Wie Sie sehen, gibt es bei der Verarbeitung von personenbezogenen Daten einiges zu beachten. Um diesen Grundsätzen gerecht zu werden, muss die Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO gewährleistet werden. Die Sicherheit wird durch geeignete technische und organisatorische Maßnahmen (TOM) gewährleistet. Damit ist ein ausreichendes Schutzniveau für personenbezogene Daten sichergestellt. Diese TOM müssen dabei unter anderem Folgendes erfüllen und umfassen:
Es ist wichtig, dass die Maßnahmen, die ergriffen werden, immer auch zum Risiko passen. Das heißt, wenn bestimmte persönliche Daten einem hohen Risiko durch Vernichtung oder Verlust ausgesetzt sind, müssen Sie sich mehr um die Sicherheit kümmern als bei einem geringeren Risiko.
Um all diese Anforderungen erfüllen zu können, braucht es ein System, das wirklich alles abdeckt. Damit können die TOMs und weitere Maßnahmen dokumentiert und gemanagt werden. Ein Datenschutzmanagementsystem (DSMS) bzw. Informationssicherheitsmanagementsystem (ISMS) bietet da die nötigen Möglichkeiten.
Mit unserem DSMS bieten wir Ihnen ein datenschutzkonformes System, mit dem Sie nicht nur den Datenschutz in Ihrem Unternehmen verwalten, sondern gleichzeitig auch ein vollumfängliches ISMS aufbauen können. Damit können Sie die IT-Sicherheit Ihres Unternehmens managen. So haben Sie alles auf einen Blick und können alle nötigen Informationen und Maßnahmen ganz einfach in einem System vereinen. So können Sie den Datenschutz in Ihrem Unternehmen ganz einfach organisieren und die TOMs im Einklang mit den geltenden Datenschutzvorgaben gestalten.
Ob für den Regelbetrieb rund um Datenschutz, das Onboarding neuer Mitarbeiter oder die Dokumentation aller getroffenen Maßnahmen – Das Cortina DSMS ist Ihre persönliche Bibliothek für Compliance.
Der Datenschutzbeauftragte ist ein wichtiger Teil der DSGVO-Umsetzung in Ihrem Unternehmen. Es ist daher von entscheidender Bedeutung, das DSMS nicht als isolierte Einheit zu betrachten, sondern als integralen Bestandteil seiner Arbeit. Auf diese Weise stellen Sie sicher, dass die DSGVO nicht als eine Ansammlung von einzelnen Compliance-Inseln, sondern als ein großes Ganzes umgesetzt wird. So wird verhindert, dass es zu unnötiger Doppelarbeit kommt und alles doppelt gemacht wird. Auf diese Weise können Sie das Thema Datenschutz in Ihrem Unternehmen vollumfänglich und DSGVO-konform umsetzen.
Einhaltung und Kontrolle des Datenschutzes im Unternehmen durch Cortina Consult.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
