Was sind die Grundsätze des Datenschutzrechts (DSGVO)?

Die Datenschutzgrundverordnung beruht auf sechs Grundsätzen, welche in folgenden Abschnitten erklärt werden. Als Unternehmen steht man in der Verantwortung einer entsprechenden Prüfinstanz, wie der Aufsichtsbehörde eines Bundeslandes, nachzuweisen, dass diese Grundsätze eingehalten werden.

Alle Informationen basieren auf den Aussagen des Art. 37 DSGVO, §38 BDSG.

1. Rechtmäßigkeit & Transparenz

Dieser Grundsatz erläutert , dass personenbezogene Daten nur verarbeitet werden dürfen, wenn eine entsprechende dafür existiert. Das bedeutet, ein Überblick über die Prozesse geschaffen werden muss, welche auf personenbezogene Daten zugreifen und was innerhalb dieser Prozesse mit den Daten passiert. Dazu gibt es das sogenannte Verarbeitungsverzeichnis. Dort sind alle Prozesse aufgelistet und es wird dokumentiert, auf Basis welcher Rechtsgrundlage die Daten weiter verarbeitet werden.

Dies schafft Transparenz für betroffenen Personen und resultiert in die sogenannte Informationspflicht, denn Betroffene müssen darüber informiert werden, was mit ihren Daten passiert.

2. Integrität & Vertraulichkeit

In diesem Grundsatz geht es um den Umgang mit personenbezogenen Daten. Im Detail geht es um die Richtigkeit der erhobenen Daten und deren Schutz vor Zugriff durch unberechtigte Personen, denn dies kann sowohl auf technischer als auch auf organisatorischer Ebene geschehen. Das Dokument, welches in diesem Zuge erstellt wird, ist die Vertraulichkeitserklärung.

3. Zweckbindung

Daten werden häufig zu einem bestimmten, definierten Zweck erhoben. Dies ist ein ganz normaler Vorgang in jedem Unternehmen. Problematisch ist, wenn die erhobenen Daten für andere Zwecke verwendet werden, als sie bestimmt sind.

Beispiel: Eine E-Mail-Adresse kann für vertragliche Kommunikation verwendet werden. Damit ist allerdings kein Newsletterversand oder die Weitergabe der E-Mailadresse an Dritte gerechtfertigt.

4. Richtigkeit

Die Richtigkeit der Daten muss gewährleistet werden. Dies bedeutet, dass Anpassungen an Datenbanken und Systemen technisch kontrolliert und zugelassen werden müssen.

5. Datenminimierung

Erhebung von möglichst vielen Daten ohne eine Zweckbindung ist nicht gestattet. Der Grundsatz der Datenminimierung verhindert dies. Ein prüfender Blick ins Verarbeitungsverzeichnis verdeutlicht, ob erhobenen Daten tatsächlich benötigt werden oder nur provisorisch eingeholt wurden.

Es gab bereits Fälle, in denen ein solches Verhalten mit einem Bußgeld sanktioniert wurde. Dies läuft unter der Rubrik „unrechtmäßige Verarbeitung“.

6. Speicherbegrenzung

Der Datenlebenszyklus beginnt bei der Erhebung, geht über die Verwendung bis hin zur Weitergabe und Archivierung. Dabei sollte allerdings nicht vergessen werden: Erst das Löschen der Daten beendet den Lebenszyklus tatsächlich.