zurück

Das Grundgerüst der Datenschutz-Grundverordnung

Grundsätze der DSGVO

In Artikel 5 Abs. 1 sind die Grundsätze der DSGVO definiert, die die Basis für die gesamte Erhebung, Verarbeitung und Nutzung personenbezogener Daten bilden.

Doch was genau sind personenbezogene Daten?

Unter personenbezogenen Daten versteht man alle Informationen, die sich auf identifizierte oder identifizierbare persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person beziehen. Das sind beispielsweise:

• Name, Alter, Familienstand, Geburtsdatum
• Anschrift, Telefonnummer, E-Mail-Adresse
• Konto-, Kreditkartennummer
• Kraftfahrzeugnummer, Kfz-Kennzeichen
• Personalausweisnummer, Sozialausweisnummer
• Vorstrafen
• Genetische Daten und Krankendaten
• Werturteile wie zum Beispiel Zeugnisse

Aufgrund ihrer Wichtigkeit möchten wir im folgenden auf die einzelnen Grundsätze eingehen:

Grundsatz der Transparenz

Der Umfang, der Zweck sowie die Speicherdauer der erhobenen Daten müssen konsequent hinterlegt sein, sodass Sie die betroffene Person entsprechend darüber informieren können.
Grundsatz der Zweckbindung

Sie müssen die betroffene Person nicht nur darüber informieren, zu welchem Zweck die Verarbeitung der Daten erfolgt – Sie dürfen die erhobenen Daten auch nur zu dem angegebenen Zweck nutzen.
Grundsatz der Speicherbegrenzung

Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist".
Grundsatz der Richtigkeit

Personenbezogene Daten müssen „sachlich richtig und erforderlichenfalls auf dem neusten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden".
Grundsatz der Datenminimierung

Bei der Erhebung von Daten ist darauf zu achten, dass diese „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind.
Grundsatz der Integrität und Vertraulichkeit

Sie sind dazu verpflichtet, dass die Art und Weise der Verarbeitung „eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen".

Mit welchen Maßnahmen müssen Sie rechnen?

Durch die DSGVO kommt auch die Umsetzung technischer und organisatorischer Maßnahmen (kurz: TOM) auf die Unternehmen zu.

Beispiele für Maßnahmen
- Trennung der Daten nach Verarbeitungszweck
- Nur erforderliche Daten verarbeiten
- Zugriffsschutz per Voreinstellung
- Anonymisierung und Pseudonymisierung der Daten
- Transparenz durch Dokumentation
- Verschlüsselte Kommunikation
- Nutzung von Zertifizierungen
Privacy by Design

Das bereits geltende Prinzip der Datensparsamkeit wird durch die Einführung des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen" – besser bekannt als „Privacy by Design" und „Privacy by Default" – erweitert.

Unternehmen sind dazu verpflichtet, die Einhaltung des Datenschutzes anhand technischer Maßnahmen zu gewährleisten. Das hat bereits Einfluss auf die Entwicklung und die Auswahl der Produkte und Systeme, die für die Datenverarbeitung genutzt werden sollen – bereits hier sollten sich Unternehmen darüber Gedanken machen, ob die entsprechende Technik von Beginn an einen ausreichenden Datenschutz sicherstellen kann.
Privacy by Default

Das bedeutet, dass die Forderungen der DSGVO auch durch datenschutzfreundliche Voreinstellungen von Produkten und Dienstleistungen eingehalten werden müssen. Es dürfen nur die Daten erfasst und verarbeitet werden, die für die Nutzung des Produkts oder der Dienstleistung notwendig sind. Der Nutzer kann – wenn er das möchte – im Nachhinein die Einstellungen ändern und seine Einwilligung für eine erweiterte Datenverarbeitung erteilen.