Welche Grundsätze für die Verarbeitung personenbezogener Daten müssen beachtet werden?

Datenschutzgrundsätze

Artikel 5 der Datenschutz-Grundverordnung enthält die Grundsätzprinzipien, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen, z.B. Transparenz, Zweckbindung, Datenminimierung, und Rechenschaftspflicht. Zu theoretisch? Hier ein Beispiel mit Praxisbezug: Cookie Banner & Nudging.

Datenschutz
Inhalt dieser Seite

Grundsätze der DSGVO

Als Verantwortlicher sind Sie dafür zuständig, dass die in Artikel 5 DSGVO genannten Rechtsgrundsätze eingehalten werden. Dazu gehören: Rechtmäßigkeit der Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht

Grundsatz der Rechtmäßigkeit von Treu und Glauben und Transparenz

Personenbezogene Daten müssen fair und verständlich verarbeitet werden. Das nennt man auch „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Die Verarbeitung muss mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage erfolgen. Das kann sich aus der DSGVO oder sonstigem Unionsrecht oder dem Recht der Mitgliedstaaten ergeben. Zum Beispiel darf der Verantwortliche die Daten verarbeiten, wenn er dazu rechtlich verpflichtet ist, wenn die betroffene Person Vertragspartei ist oder wenn vorvertragliche Maßnahmen auf Antrag der betroffenen Person erfolgen. Das steht in Artikel 40 der DSGVO

Eine Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffene Person weiß, dass Daten über sie erhoben werden und wie das passiert. Außerdem muss sie darüber informiert werden, was mit den Daten passiert. Das steht in Punkt 38 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 

Für Privatpersonen sollte klar sein, welche Daten von ihnen erhoben, verwendet, abgefragt oder sonst wie verarbeitet werden. Alle Infos und Mitteilungen über die Verarbeitung deiner Daten müssen leicht zugänglich und verständlich sein. Sie sollten in einer klaren und einfachen Sprache verfasst sein. Vor allem geht es um Informationen darüber, wer für die Verarbeitung verantwortlich ist, welche Daten wofür verwendet werden und welche Rechte die betroffenen Personen haben. Sie haben das Recht, zu erfahren, welche Daten über Sie gespeichert sind (Artikel 39 Satz 2 der Datenschutz-Grundverordnung). 

Zweckbindung

Wenn die Daten im öffentlichen Interesse weiterverarbeitet werden, zum Beispiel für Archivierung, wissenschaftliche oder historische Forschung oder Statistik, ist das laut Art. 89 Abs. 1 DSGVO nicht als mit den ursprünglichen Zwecken unvereinbar anzusehen (Art. 5 Abs. 1 lit. b DSGVO).  

Das Bundesverfassungsgericht hat 1983 in einem Volkszählungsurteil festgelegt, dass eine „Vorratsspeicherung von Daten auf unbestimmte Zeit“ nicht zulässig ist. Deshalb ist es so wichtig, schon vor der Erhebung personenbezogener Daten festzulegen, wozu die Daten verwendet werden sollen. 

Wenn Daten zu einem anderen Zweck verarbeitet werden sollen, muss es dafür eine gesetzliche Grundlage geben. 

Datenminimierung

Die Daten müssen gemäß Art. 5 Abs. 1 Buchst. c DSGVO so gespeichert werden, dass sie dem Zweck angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Das heißt, dass nur Daten erhoben und verarbeitet werden dürfen, die für den konkreten Zweck relevant sind und für die Erfüllung notwendig sind. 

Richtigkeit der Daten

Die Datenverarbeitung muss dafür sorgen, dass alle personenbezogenen Daten korrekt sind und auf dem neuesten Stand gehalten werden. Das heißt, alle nötigen Schritte müssen unternommen werden, um personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung falsch sind, sofort zu löschen oder zu berichtigen (Art. 5 Abs. 1 Buchst. d DSGVO). 

Die Daten sollten immer auf dem neuesten Stand sein und vor unerlaubter Veränderung geschützt werden. 

Der Begriff „erforderlichenfalls” bedeutet, dass nur die Daten auf dem neuesten Stand sein müssen, die für die Erfüllung der vertraglichen Pflichten gebraucht werden. 

Speicherbegrenzung

Personenbezogene Daten müssen so gespeichert werden, dass eine Identifizierung der betroffenen Personen nur so lange möglich ist, wie dies für die Zwecke der Verarbeitung erforderlich ist. Wenn die Speicherung länger als nötig dauert, kann eine Ausnahme gemacht werden, wenn das für Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke notwendig ist.  

Dafür müssen aber geeignete Maßnahmen zum Schutz der Rechte getroffen werden. 

Es ist wichtig, alle Mittel zu berücksichtigen, die genutzt werden, um eine Person zu identifizieren. So kann festgestellt werden, ob eine Person identifizierbar ist. Das kann zum Beispiel das Aussondern sein.  

Wenn der Zweck wegfällt, müssen die Daten gelöscht oder anonymisiert werden. Ausnahmen sind zum Beispiel Statistik, Archiv oder Forschung.   

Es ist gut, wenn der Verantwortliche Fristen für die Löschung oder Überprüfung der Daten festlegt (Satz 10 des Erwägungsgrunds 39 zur Datenschutzgrundverordnung). 

Integrität und Vertraulichkeit

Personenbezogene Daten müssen gemäß Art. 5 Abs. 1 Buchst. f DSGVO so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist. 

Das heißt, die Daten müssen vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt werden. Die Sicherheit wird durch geeignete technische und organisatorische Maßnahmen gewährleistet. 

Die Daten müssen so verarbeitet werden, dass sie nicht verloren gehen oder von Unbefugten gelesen werden können. Dafür muss man sichere technische und organisatorische Maßnahmen treffen. Dabei muss auch darauf geachtet werden, was technisch möglich ist, wie hoch das Risiko ist und wie schwer eine mögliche Verletzung von Betroffenenrechten und -freiheiten wäre. 

Das bedeutet also, Unbefugte sollen keinen Zugang zu Daten und zu Geräten haben, mit denen die Daten verarbeitet werden. Das steht auch in Erwägungsgrund 39, Satz 12 der Datenschutzgrundverordnung. 

Rechenschaftspflicht

Die Verantwortliche Stelle muss dafür sorgen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem muss sie nachweisen können, dass sie sich daran hält (siehe Artikel 5 Abs. 2 der Datenschutzgrundsätze). Das gilt übrigens auch für den Fall, dass Daten im Auftrag verarbeitet werden. 

Wenn es zu einer Schadenersatzklage kommt, muss der Verantwortliche nachweisen können, dass er nicht rechtswidrig und schuldhaft gehandelt hat. Dafür muss er entsprechende Nachweise vorlegen können

Die Aufsichtsbehörde kann vom Verantwortlichen verlangen, dass er ihr seine Dokumentation zeigt. Das steht in Art. 58 Abs. 1 Buchst. a DSGVO. 

IT-Technik zur Umsetzung

Wie Sie sehen, gibt es bei der Verarbeitung von personenbezogenen Daten einiges zu beachten. Um diesen Grundsätzen gerecht zu werden, muss die Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO gewährleistet werden. Die Sicherheit wird durch geeignete technische und organisatorische Maßnahmen (TOM) gewährleistet. Damit ist ein ausreichendes Schutzniveau für personenbezogene Daten sichergestellt. Diese TOM müssen dabei unter anderem Folgendes erfüllen und umfassen:   

Es ist wichtig, dass die Maßnahmen, die ergriffen werden, immer auch zum Risiko passen. Das heißt, wenn bestimmte persönliche Daten einem hohen Risiko durch Vernichtung oder Verlust ausgesetzt sind, müssen Sie sich mehr um die Sicherheit kümmern als bei einem geringeren Risiko.  

Um all diese Anforderungen erfüllen zu können, braucht es ein System, das wirklich alles abdeckt. Damit können die TOMs und weitere Maßnahmen dokumentiert und gemanagt werden. Ein Datenschutzmanagementsystem (DSMS) bzw. Informationssicherheitsmanagementsystem (ISMS) bietet da die nötigen Möglichkeiten.  

Mit unserem DSMS bieten wir Ihnen ein datenschutzkonformes System, mit dem Sie nicht nur den Datenschutz in Ihrem Unternehmen verwalten, sondern gleichzeitig auch ein vollumfängliches ISMS aufbauen können. Damit können Sie die IT-Sicherheit Ihres Unternehmens managen. So haben Sie alles auf einen Blick und können alle nötigen Informationen und Maßnahmen ganz einfach in einem System vereinen. So können Sie den Datenschutz in Ihrem Unternehmen ganz einfach organisieren und die TOMs im Einklang mit den geltenden Datenschutzvorgaben gestalten.

Cortina Consult DSMS jetzt nutzen

Schauen Sie sich hier unsere Preise und Pakete an und buchen Sie das passende Angebot. Damit starten Sie direkt mit dem Datenschutzprojekt und können das Cortina Consult DSMS für Ihr Unternehmen nutzen. 

Datenschutzbeauftragter und DSMS

Der Datenschutzbeauftragte ist ein wichtiger Teil der DSGVO-Umsetzung in Ihrem Unternehmen. Es ist daher von entscheidender Bedeutung, das DSMS nicht als isolierte Einheit zu betrachten, sondern als integralen Bestandteil seiner Arbeit. Auf diese Weise stellen Sie sicher, dass die DSGVO nicht als eine Ansammlung von einzelnen Compliance-Inseln, sondern als ein großes Ganzes umgesetzt wird. So wird verhindert, dass es zu unnötiger Doppelarbeit kommt und alles doppelt gemacht wird. Auf diese Weise können Sie das Thema Datenschutz in Ihrem Unternehmen vollumfänglich und DSGVO-konform umsetzen. 

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Datenschutzgrundsätze rechtskonform umsetzen

Als externer Datenschutzbeauftragter unterstützen wir Sie bei der Einrichtung und beim Betrieb des DSMS und sorgen für die Einhaltung sämtlicher Datenschutzgrundsätze.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

ISMS
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo