Grundsätze der DSGVO verständlich zusammengefasst

Quelle: iStock.com/akinbostanci

Grundsatz der Rechtmäßigkeit, Treu und Glauben und Transparenz

Nach diesem Grundsatz müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Entsprechendes ergibt sich aus Artikel 5 Absatz 1a DSGVO. Rechtmäßig ist eine Verarbeitung, wenn sie auf Basis einer Rechtsgrundlage im Sinne des Artikels 6 DSGVO stattfindet (Verbot mit Erlaubnisvorbehalt).

Der Grundsatz einer Verarbeitung nach Treu und Glauben spielt hingegen eine untergeordnete Rolle. Mit ihm soll erreicht werden, dass eine Verarbeitung sich immer an den Maßstäben der Fairness orientiert.

Der Grundsatz der Transparenz ist selbsterklärend. Eine betroffene Person, deren personenbezogene Daten verarbeitet werden, hat das Recht auf eine transparente Verarbeitung. Gemeint ist damit, dass diese Person darüber aufzuklären ist, wer personenbezogene Daten verarbeitet, welche Daten verarbeitet werden, zu welchem Zweck dies geschieht, wie lange die Verarbeitung stattfindet und wohin die Daten übertragen werden. Der Grundsatz findet sich in den Informationspflichten der DSGVO wieder.

Grundsatz der Zweckbindung

Der Grundsatz der Zweckbindung besagt ferner, dass personenbezogene Daten nur für den Zweck verarbeitet werden dürfen, für den sie erhoben wurden. Wenn in einem Unternehmen also beispielsweise Daten eines Bewerbers in der Personalabteilung erhoben wurden, darf die Marketingabteilung des Unternehmens diese personenbezogenen Daten des Bewerbers nicht auch für Werbezwecke nutzen. Folglich dürfen keine willkürlichen Verarbeitungen stattfinden. Bei der Verarbeitung ist ein Unternehmen also regelmäßig an den Zweck der Datenerhebung gebunden für den die Verarbeitung rechtmäßig ist.

Grundsatz der Datenminimierung

Wie dem Begriff schon zu entnehmen ist, zielt dieser Grundsatz darauf ab, dass die Erhebung von Daten möglichst geringgehalten wird. Es sollen also nur die Daten erhoben werden, die wirklich erforderlich sind. Wenn ein Unternehmen zum Beispiel zur Auftragsabwicklung nicht auf das Geburtsdatum eines Kunden angewiesen ist, darf dieses Unternehmen das Geburtsdatum eines Vertragspartners auch nicht erfragen, sondern immer nur die Daten erheben, die wirklich für den verfolgten Zweck benötigt werden. Nach der Definition müssen personenbezogene Daten dem Zweck angemessen, erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Grundsatz der Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung ist einfach zu verstehen, denn danach müssen personenbezogene Daten gelöscht oder vernichtet werden, sobald der Zweck, für den die Daten erhoben wurden, erreicht ist. Demnach dürfen Unternehmen nach der jeweiligen Zweckerreichung die verarbeiteten personenbezogenen Daten nicht länger speichern, jedenfalls nicht in einer Form, die die Identifizierung der betroffenen Person ermöglicht. Eine Ausnahme besteht jedoch im Falle von gesetzlichen Aufbewahrungsfristen.

Grundsatz der Richtigkeit

Dieser Grundsatz besagt, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Integrität und Vertraulichkeit

Ein weiterer Grundsatz bezieht sich auf Integrität und Vertraulichkeit. Zu verstehen ist darunter ein Schutz vor Datenmanipulation, beispielsweise durch die Bereitstellung sicherer Logins, geschützte Passwörter bzw. insgesamt ein angemessenes Sicherheitsniveau im Umgang mit personenbezogenen Daten. Es soll also eine angemessene Sicherheit von personenbezogenen Daten gewährleistet sein, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Dies geschieht durch geeignete technische und organisatorische Maßnahmen.