Sie befinden sich hier:

Welche Grundsätze für die Verarbeitung personenbezogener Daten müssen beachtet werden?

Jeder Verantwortliche muss die Einhaltung der im Artikel 5 DSGVO aufgeführten Rechtsgrundsätze (Rechtmäßigkeit der Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht) gewährleisten.

Grundsatz der Rechtmäßigkeit von Treu und Glauben und Transparenz

Gemäß Art. 5 Abs. 1 Buchst. a müssen personenbezogene Daten auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus der Datenschutzgrundverordnung oder aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist (Erwägungsgrund 40 zur Datenschutzgrundverordnung).

Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden (Erwägungsgrund 38 zur Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr).

Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden (Satz 2 des Erwägungsgrundes 39 zur Datenschutzgrundverordnung).

Zweckbindung

Personenbezügen Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Art  89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (Art. 5 Abs. 1 Buchst. b DSGVO).

Im Volkszählungsurteil des Bundesverfassungsgerichts von 1983 ist es nicht erlaubt, „Daten auf Vorrat zu unbestimmten Zwecken“ zu speichern. So muss schon vor dem Erheben von personenbezogenen Daten ein zweckdienlicher Nutzen festgelegt werden.

Sollen Daten zu einem anderen Zweck verarbeitet werden, ist dafür eine Rechtsgrundlage erforderlich.

Datenminimierung

Datenminimierung bedeutet gemäß Art. 5 Abs. 1 Buchst. c DSGVO, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Damit dürfen nur solche Daten erhoben und verarbeitet werden, die für den konkreten Erhebungszweck von direkter Relevanz und für dessen Erfüllung erforderlich sind.

Richtigkeit der Daten

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Art. 5 Abs. 1 Buchst. d DSGVO).

Die Daten sollten aktuell und gegen unerlaubter Datenveränderung geschützt sein.

Erforderlichenfalls bedeutet, dass nur diejenigen Daten auf dem aktuellen Stand zu sein haben, die z. B. für eine vertragsmäßige Erfüllung benötigt werden.

Speicherbegrenzung

Gemäß Art. 5 Abs. 1 Buchst  e müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden.

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern (Erwägungsgrund 26 zur Datenschutzgrundverordnung).

Wird der Speicherungszweck erreicht oder fällt er weg, dann sind die Daten zu löschen oder zu pseudonymisieren. Bis auf wenige Ausnahmen (z. B. Statistik-, Archiv- oder Forschungszwecke) dürfen die Daten darüber hinaus nicht länger gespeichert werden.

Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen (Satz 10 des Erwägungsgrunds 39 zur Datenschutzgrundverordnung).

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Art. 5 Abs. 1 Buchst. f DSGVO).

Die Integrität der Daten muss durch technisch-organisatorische Sicherheitsmaßnahmen gewährleistet werden, die ein angemessenes Schutzniveau bieten. Dabei spielt der Stand der Technik ebenso eine Rolle wie das Risiko und die Schwere einer möglichen Verletzung von Betroffenenrechten und -freiheiten.

Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können (Satz 12 des Erwägungsgrunds 39 zur Datenschutzgrundverordnung).

Rechenschaftspflicht

Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 verantwortlich und muss deren Einhaltung nachweisen können (Art. 5 Abs. 2 DSGVO). Dies gilt auch für den Fall einer Auftragsverarbeitung.

Diese Rechenschaftspflicht könnte dazu führen, dass ein Verantwortlicher im Rahmen einer Schadenersatzklage (z. B. anhand einer Dokumentation) beweisen muss, dass er nicht rechtswidrig und schuldhaft gehandelt hat.

Die Aufsichtsbehörde kann gemäß Art. 58 Abs. 1 Buchst. a DSGVO vom Verantwortlichen die Herausgabe seiner Dokumentation fordern.

nach oben