Die Datenschutz-Grundverordnung sieht bei der Verarbeitung personenbezogener Daten verschieden Grundsätze vor, die beachtet werden müssen. Damit ist sichergestellt, dass alle Beteiligten – betroffene Personen, Verantwortliche und Auftragsverarbeiter – bei der Verarbeitung von Daten die gleichen Maßstäbe ansetzen und sich jeder bei einer Verletzung des Datenschutzes hierauf berufen kann.
Rechtmäßigkeit der Verarbeitung
Die Verarbeitung personenbezogener Daten muss auf rechtmäßige Art und Weise erfolgen, auf Treu und Glauben basieren und transparent gestaltet sein. Rechtmäßig ist eine Verarbeitung, sofern eine Person freiwillig in diese eingewilligt hat und die Einwilligung selbst spezifisch und eindeutig hierüber informiert. Müssen Kindern eine Einwilligung in Verarbeitungstätigkeiten geben, gelten verschärfte Anforderungen und europaweit teils unterschiedliche Altersgrenzen.
In der DS-GVO ist mit „Treu und Glauben“ eine Verarbeitung nach redlichen oder nach als anständig angesehen Grundsätzen zu vestehen. Dies kann nur bei konkreten Einzelfällen berurteilt werden und es ist zu erwarten, dass es in Zukunft durch eine ausreichend Anzahl an Rechtsprechungen präzisiert wird. Als Anhaltspunkt darf aus unserer Sicht eine Verarbeitung gelten, die nur Punkte erfasst, welche ein möglichst objektiver Dritter auch so vermuten könnte. Z.B. ist ein häufiger Passus in Datenschutzerklärungen, dass Daten innerhalb einer Unternehmensgruppe geteilt werden dürfen. Willigt man hierzu ein, darf man annehmen ggf. von einer Tochter oder Schwestergesellschaft Werbung zu einem ähnlichen Produkt, wie dem erworbenen zu erhalten.
Transparenz der Verarbeitungstätigkeiten ist für das Wahrnehmen von Betroffenenrechten einer Person und des Rechts auf informationelle Selbstbestimmung entscheidend. Die DS-GVO verlangt vom Verantwortlichen unter anderem die Einhaltung von Informationspflichten und räumt betroffenen Personen weitreichende Auskunftsrechte ein (vgl. Art. 12 ff DS-GVO).
Lesen Sie hier welche konkreten Voraussetzungen für die rechtmäßige Verarbeitung erfüllt sein müssen.
Zweckbindung und Datenminimierung
Die Zwecke einer Datenverarbeitung müssen betroffenen Personen bereits vor der Erhebung bekannt sein. Diese Zwecke müssen festgelegt, eindeutig und Legitim sein. Damit wird ausgeschlossen, dass vorhandene Daten zu anderen Zwecken verwendet werden bzw. mit Zwecken, die mit dem ursprünglichen Zweck der Erhebung nicht vereinbar sind.
Die Datenminimierung von Daten entspricht weiten teils der zuvor geltenden Definition von „Datensparsamkeit“ des BDSG. Werden Daten für einen bestimmten Zweck erhoben, sollten der Umfang der erhobenen Daten so weit wir möglich beschränkt sein. Zum Beispiel braucht es für die Lieferung eines Online-Versandhandels in keinem Fall Angaben über religiöse Ansichten oder Gewerkschaftszugehörigkeit einer Person (vgl. besondere Kategorien personenbezogener Daten).
Richtigkeit der Daten und Speicherbegrenzung
Die DS-GVO erhebt an einen Verantwortlichen den Anspruch, Daten auf sachliche Richtigkeit zu prüfen und ggf. auf dem neuesten Stand zu halten. Daten die bezüglich dem Verarbeitungszweck unrichtig sind müssen korrigiert oder gelöscht werden. Dies spiegelt sich auf im Betroffenenrecht auf „Berichtigung“ vorhandener Daten wider (vgl. Art. 16 DS-GVO). Werden Daten für einen bestimmten Zweck erhoben, müssen diese nach der Erfüllung dieses Zwecks entweder gelöscht oder ausreichend pseudonymisiert werden.
In der Praxis erweist sich die Umsetzung der Speicherbegrenzung umfassender, als zu vermuten wäre. Als Beispiel sei die Nutzung von Internetportalen genannt, ganz gleich ob diese monetarisiert (Werbung, Beiträge, etc.) oder nicht-monetarisiert sind. Bei Besuch eines Internetportals mit entsprechenden Tracking-Technologien wird das Einverständnis der Portal-Besucher eingeholt. Hierbei werden IP-Adresse sowie die Zeit und die Einwilligung erfasst und ggf. durch die Daten eines Kontaktformulars ergänzt. Zweck der Datenverarbeitung ist vielleicht bereits nach wenigen Minuten erfüllt. Der Verantwortliche muss allerdings jederzeit gegenüber einer Anfrage von Aufsichtsbehörden nachweisen können, dass eine Einwilligung eingeholt wurde. Diese Daten sind mit einer Kennung (IP-Adresse) sowie mit Informationen über besuchten Unterseiten und Daten des Kontaktformulars versehen und bleiben gespeichert.
Integrität und Vertraulichkeit
Der Schutz personenbezogener Daten steht für die Datenschutz-Grundverordnung stets im Vordergrund. Hierzu zählen der Schutz vor unberechtigtem Zugriff und Verarbeitung, Verlust, Schädigung und Zerstörung durch ausreichende technische und organisatorische Maßnahmen. Es beschäftigen sich weitere Artikel der DS-GVO mit der Sicherheit von Daten, vor allem Art. 32.
Die DS-GVO formuliert eine konkreten Maßnahmen, sondern verlangt eine adäquate Regelung im konkreten Einzelfall vor. Gewisse grundsätzliche Prinzipien lassen sich generalisieren (z.B. die Zugriffskontrolle), wohingegen sich beim Umfang der umgesetzten Maßnahmen immer wieder Interpretationsspielräume ergeben. So ist beispielsweise ein hundertprozentiger Schallschutz zwischen angrenzenden Büroräumen nur schwer zu erreichen – mithören von Gesprächen in Zimmerlautstärke hingegen ein Datenschutz-Risiko.
Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics