Grundsätze für die Verarbeitung personenbezogener Daten

Grundsätze für die Verarbeitung personenbezogener Daten

Die rechtskonforme Verarbeitung personenbezogener Daten erfordert nicht nur eine Rechtsgrundlage und technische sowie organisatorische Schutzmaßnahmen, sondern auch die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten durch den Verantwortlichen.

Diese Grundsätze sind in Art. 5 DSGVO näher definiert.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz nach Art. 5 Abs. 1 lit. a) DSGVO

Bei dem Grundsatz der Rechtmäßigkeit handelt es sich um die Anforderung einer Rechtsgrundlage, die die Verarbeitung personenbezogener Daten erlaubt (siehe Art. 6 Abs. 1 DSGVO). Demnach sollte die betroffene Person (Betroffene) darauf vertrauen können, dass die ihre Daten verarbeitende Einrichtung dies auch entsprechend Art. 5 DSGVO nach Treu und Glauben verarbeitet. Um die Transparenz der Verarbeitung für die von der Verarbeitung ihrer Daten Betroffenen zu erreichen, ist der Verantwortliche verpflichtet, die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten in klarer, leicht zugänglicher und transparenter Weise zu informieren, die für sie nachvollziehbar ist (siehe auch “Datenschutzerklärungen auf Webseiten“). Dies beinhaltet Informationen dazu, wieso der Verantwortliche – und etwaige weitere Unternehmen – ihre Daten wofür, für welche Dauer und durch wen verarbeitet (Transparenz). Die formalen und organisatorischen Anforderungen an die Information sind in Art. 12 DSGVO näher erläutert. Worüber zu informieren ist, findet sich in Artt. 13 und 14 DSGVO.

Beispiel

Verarbeitet ein Verantwortlicher personenbezogene Daten von Besuchern seiner Webseite, hat er diese über die Einzelheiten zur Verarbeitung ihrer personenbezogenen Daten aufzuklären. Dabei darf er die Daten nur verarbeiten, sofern dies auf einer Rechtsgrundlage beruht. Zum Beispiel kann er das Betreiben der Webseite mit dem berechtigten Interesse (Art. 6 Abs. 1 lit. f) DSGVO) begründen, seine Präsenz zu erhöhen und letztendlich den Umsatz zu steigern. Dies beinhaltet auch die Cookies, die aufgrund technischer Notwendigkeit gesetzt werden und bezieht sich auf die personenbezogenen Daten, die dabei zwangsläufig verarbeitet werden. Jegliche anderen Cookies, beispielsweise für das Tracking mit Hilfe von Unternehmen wie Facebook, Amazon oder Google oder zur Auswertung der Webseitenbesuche, dürfen nur auf Basis der Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) eingesetzt werden. Der Besucher der Webseite sollte sich darauf verlassen können, dass dies auch entsprechend umgesetzt wird. Hierzu laufen aktuell übrigens auch Kontrollen durch Datenschutzaktivisten und Aufsichtsbehörden.

Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO

Nach Art. 5 Abs. 1 lit. b) DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn diese für die Erfüllung eines bestimmten möglichst im Vorfeld festgelegten Zweckes erforderlich ist. Dies muss in Einklang mit der entsprechenden Rechtsgrundlage geschehen.

Beispiel 1

Gewisse Browser-Einstellungen eines Webseitenbesuchers werden automatisch erfasst, sobald dieser eine Webseite aufruft. Demnach dürfen sie im Zuge des Betreibens der Webseite verarbeitet werden, da diese technisch notwendig und demnach für den Zweck erforderlich sind; aber nicht darüber hinaus, sofern die Einwilligung der betroffenen Person dafür nicht vorliegt.

Beispiel 2

Ein Arzt darf die Gesundheitsdaten seiner Patienten für die Behandlung der Patienten als im Vorfeld festlegten Zweck verarbeiten. Er darf diese Daten aber nicht an das Sanitätshaus oder den Apotheker für Werbezwecke oder die Pharmaindustrie für Forschungszwecke verkaufen. Neben dem Datenschutz steht dem das Berufsgeheimnis nach § 203 StGB entgegen.

Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO

Die personenbezogenen Daten, die verarbeitet werden, sind nur in solchem Ausmaß zu verarbeiten, wie sie vonnöten sind, um den Zweck zu erfüllen.

Beispiel 1

Ein Betreiber einer Webseite für Erwachsenenmode verstößt gegen Art. 5 Abs. 1 lit. c) DSGVO, wenn er im Laufe des Bestellprozesses beispielsweise nach den Interessen der Kinder fragt.

Beispiel 2

Für das Angebot eines Newsletters wird nur die E-Mail-Adresse benötigt, nicht der Name, die Postanschrift, die Einkommensverhältnisse etc. Name und Anrede können als freiwillige Felder für die persönliche Ansprache angeboten werden, wenn das der Abonnent wünscht. Als Muss-Felder sind weitergehende Angaben aber nicht zulässig.

Richtigkeit nach Art. 5 Abs. 1 lit. d) DSGVO

Die verarbeiteten personenbezogenen Daten müssen korrekt sein. Demzufolge hat ein Verantwortlicher personenbezogene Daten zu berichtigen, sobald ihm bekannt wird, dass sie nicht mehr aktuell oder allgemein inkorrekt sind. Kenntnis davon kann er u. a. durch eine betroffene Person erlangen, die gemäß Art. 16 DSGVO die Berichtigung ihrer personenbezogenen Daten verlangt.

Beispiel 1

Ein Abo-Anbieter, der es Nutzern ermöglicht, auf der Webseite Profile anzulegen, bemerkt, dass die Kreditkarte eines Mitgliedes innerhalb eines bestimmten Zeitraumes ihre Gültigkeit verliert. Aufgrund dessen weist er den Nutzer darauf hin, die Daten zu aktualisieren.

Beispiel 2

Eine Person, deren Namen sich beispielsweise durch Heirat ändert, kann die Korrektur des Namens verlangen.

Beispiel 3

Nach einem Umzug kann die Korrektur der Adresse verlangt werden, doch Achtung: Damit könnten auch Betrugsversuche verbunden sein, weshalb ein Verantwortlicher sich den Umzug nachweisen lassen sollte.

Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO

Wie im Zuge des Grundsatzes der Datenminimierung angedeutet, ist es nicht erlaubt, personenbezogene Daten länger aufzubewahren als es zur Erfüllung des Zweckes notwendig ist. Schon mit der Erhebung und Speicherung der Daten sollte also in einem Löschkonzept festgelegt werden, wie lange die Daten aufzubewahren und wann sie durch wen in welcher Weise zu vernichten sind.

Beispiel

Stellt eine betroffene Person über ein Kontaktformular auf einer Webseite eine Anfrage, darf der Verantwortliche diese Daten verarbeiten, bis der Zweck erfüllt ist und etwaige Aufbewahrungsfristen abgelaufen sind. Sofern es sich also um eine allgemeine Anfrage handelt, sind die damit verbundenen Daten zu vernichten, sobald sie beantwortet wurde. Handelt es sich hierbei um eine Korrespondenz im Zusammenhang mit einer Vertragsanbahnung oder -erfüllung, beträgt die Aufbewahrungsfrist zehn Jahre. Bewerbungsunterlagen von abgelehnten Bewerbern sollten nach Ablauf der Frist, innerhalb derer Ansprüche nach dem allgemeinen Gleichstellungsgesetz (AGG) wegen vermeintlicher Diskriminierung als Grund für die Ablehnung geltend gemacht werden könnten, gelöscht werden.

Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DSGVO

Die Integrität personenbezogener Daten bezieht sich auf die Glaubwürdigkeit und Unverändertheit besagter Daten. Also dass diese auch von der jeweiligen Person stammen und nicht manipuliert, also verändert, wurden.

Damit eng verbunden ist die Vertraulichkeit. Personenbezogene Daten sind vor unbefugten Zugriff und demzufolge unbefugter Verarbeitung zu schützen. Der Verantwortliche hat zu gewährleisten, dass er den Grundsatz der Integrität und Vertraulichkeit erfüllen kann. Näheres zu den technischen und organisatorischen Maßnahmen (toM/TOM) bestimmt Art. 32 DSGVO. Bei technischen Details können die Empfehlungen des BSI herangezogen werden.

Beispiel 1

Ein Webseitenbetreiber sollte nur den Personen Administratorrechte für die Webseite erteilen, die diese benötigen (“Need-To-Know-Prinzip”). Des Weiteren sollte er sicherstellen, dass neben weiteren technischen und organisatorischen Maßnahmen eine – idealerweise technisch erzwungene – Passwortrichtlinie existiert und er die Seite verschlüsselt betreibt.

Beispiel 2

Zudem sollte geloggt werden, wer welche Datensätze verändert hat, beispielsweise wer in einem Krankenhaus die Dosierung eines Medikamentes geändert hat (vgl. § 22 Abs. 2 BDSG).

Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Die Rechenschaftspflicht (“Accountability”) bezieht sich darauf, dass der Verantwortliche in der Lage sein muss, nachweisen zu können, dass er die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO einhält. Dies kann am besten durch eine Dokumentation von Prozessen (siehe Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO) und Arbeitsanweisungen oder unternehmensinternen Richtlinien und Organisationshandbüchern erfolgen.

Beispiel

Die Gesamtheit eines Datenschutz-Management-Systems bildet eine Möglichkeit für einen Verantwortlichen, seiner Rechenschaftspflicht zur Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachzukommen. So hält er u. a. in der Leitlinie und den Richtlinien fest, welche Maßnahmen er ergreift, um die Einhaltung praktisch sicherzustellen. Aber auch die Datenschutzhinweise, das Verzeichnis von Verarbeitungstätigkeiten, die datenschutzrechtlichen Verträge, Vereinbarungen und Verpflichtungen, die technischen und organisatorischen Maßnahmen, die Sicherheitskonzepte, etwaige weitere Dokumentationen, erfolgte Schulungen bzw. Sensibilisierungen zum Datenschutz und die Benennung eines Datenschutzbeauftragten tragen dazu bei, dass ein Unternehmen vorzeigen kann, dass es sich Gedanken zu den Grundsätzen der Datenverarbeitung gemacht hat und diese einhält.

Fazit

Wir hoffen, mit diesem Beitrag verdeutlichen zu können, wie wichtig es ist, ein Datenschutz-Management-System im Unternehmen zu etablieren. Je nachdem, wie ein Unternehmen oder eine öffentliche Stelle aufgestellt ist, kann der Umfang der Dokumentation zum Datenschutz variieren. Wichtig ist, dass sie existiert, vollständig und korrekt ist und entsprechend eventueller Änderungen aktualisiert und umgesetzt wird. Dabei können wir Sie unterstützen. Kontaktieren Sie uns dazu.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.