Die Grundsätze des Datenschutzes
In Artikel 5 Abs. 1 DSGVO sind die Grundsätze der Datenverarbeitung definiert. Die Grundsätze bilden die Grundlage für die Erhebung, Verarbeitung und Nutzung von Daten.
Ob Ihre Datenverarbeitung diesen Grundsätzen entspricht, würden wir im Rahmen des Datenschutzprüfung mit Ihnen feststellen.
Rechenschaftspflicht
Die Einhaltung der Grundsätze müssen von Ihnen dokumentiert werden (Rechenschaftspflicht). Es hilft Ihnen nicht, wenn Ihre Datenverarbeitungen die gesetzlichen Anforderungen erfüllen, Sie bei einer Prüfung aber nicht die notwendige Dokumentation vorhalten können. Das Fehlen dieser Dokumentation wäre ein Verstoß gegen die DSGVO und hätte ein Bußgeld zur Folge.
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (“Rechenschaftspflicht”).
Das Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und die Nutzung personenbezogener Daten ist grundsätzlich verboten. Es sei denn es besteht eine Erlaubnis zur Datenverarbeitung. Diese lässt sich aus einer Einwilliung des Betroffenen oder anderen gesetzlichen Regelungen ableiten, wie z.B. aus Regelungen des Handelsgesetzbuchs (HGB) oder des Telemediengesetzes (TMG).
Der Grundsatz der Transparenz
Dieser Grundsatz besagt, dass die Erhebung und Verarbeitung der Daten für die betroffenen Personen nachvollziehbar sein muss. Demnach sollten Sie den Betroffenen über den Umfang, den Zweck und die Speicherdauer informieren.
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
Der Grundsatz der (legitimen) Zweckbindung
Die personenbezogenen Daten dürfen nur für die vorab festgelegten Zwecke genutzt werden.
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; [..]
Zudem müssen die festgelegten Zwecke nicht geltendem Recht widersprechen.
Der Grundsatz der Datensparsamkeit
Nur die Daten, die Sie auch benötigen, dürfen Sie auch erheben und verarbeiten.
Art. 5 Abs. 1 lit. c:
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (“Datenminimierung”);
Der Grundsatz der Richtigkeit
Die Daten müssen “sachlich richtig” sein und, sofern notwendig, auf dem neuesten Stand sein.
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden
Der Grundsatz der Speicherbegrenzung
Nach diesem Grunsatz müssen die personenbezogenen Daten in einer Form gespeichert werden, die Identifizierung so lange ermöglicht, wie es für den Verarbeitungszweck erforderlich ist. Eine Ausnahme bilden Verarbeitungen, die im öffentlichen Interesse liegen.
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke
Der Grundsatz der Integrität und Vertraulichkeit
Nach diesem Grunsatz müssen Datenverarbeitungen in technischer und organisatorischer Hinsicht die Sicherheit der Daten gewährleisten. Unter diesem Gesichtspunkt wären z.B. Konzepte zur Datensicherung, Zugangs- und Zutrittskontrollen zu Rechenzentren oder anderen IT-Infrastrukturkomponen zu betrachten.
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen