Zwar bedarf es für jede Verarbeitung von personenbezogenen Daten aufgrund des Verbots mit Erlaubnisvorbehalt einer Rechtsgrundlage nach Datenschutzgrundverordnung (DSGVO) wie zum Beispiel der Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung, allerdings müssen auch gemäß Artikel 5 DSGVO die Grundsätze für die Verarbeitung personenbezogener Daten stets gewahrt werden.
Diese grundlegenden Prinzipien muss jeder Verantwortliche (Unternehmen, Vereine etc) einhalten und Rechenschaft über die Einhaltung ablegen können. Konkrete Beispiele wie einer Rechenschaft- und Nachweispflicht nachgekommen werden kann, beschreibt die DSGVO nicht konkret. Allerdings lohnt sich hier ein Blick in die Erwägungsgründe: in der Nr. 82 wird zum Nachweis der Einhaltung der DSGVO das Führen eines Verzeichnisses der Verarbeitungstätigkeiten geboten. Die in Art. 30 DSGVO beschriebenen vorausgesetzten Angaben in einem Verzeichnissen der Verarbeitungstätigkeiten könnten somit praxisnah mit Nachweisen der Einhaltung der Grundsätze erweitert werden.
Die mitunter ungegenständlich beschriebenen Grundsätze sind unter Umständen nicht für jeden Verantwortlichen einfach zu interpretieren. Aus diesem Grund möchten wir Ihnen in diesem Blogbeitrag die obengenannten Grundsätze vorstellen und kurz erläutern.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Die hiergenannte Rechtmäßigkeit bezieht sich auf die in Artikel 6 DSGVO beschriebenen Rechtsgrundlagen. Der Begriff des Treu und Glauben ist nicht neu und besteht auch im deutschen BGB und in der EU-Grundrechte-Charta. Er beschreibt abstrakt die Fairness, die eingehalten werden muss. Die letzte Anforderung der Transparenz ist vielen Verantwortlichen auch durch die Datenschutzinformationen gem. Art. 12 ff. DSGVO bekannt.
Zweckbindung
Bereits die Erhebung des personenbezogenen Datums muss für ein oder auch mehrere festgelegte, eindeutige und legitime Zwecke durch den Verantwortlichen geschehen. Die starre Bindung an einen oder mehrere Zweck(e) wird allerdings wiederrum durch den Art. 6 Abs. 4 DSGVO und den Erwägungsgrund Nr. 50 abgeschwächt. Zweckänderungen müssen daher immer vereinbar mit dem ursprünglichen Zweck sein.
Datenminimierung
Die Datenminimierung bezeichnet, dass die Verarbeitung (als kompletter Lebenszyklus der personenbezogenen Daten) und auch Weiterverarbeitungen auf ein verhältnismäßiges Minimum reduziert sein muss. Dies schließt die Erhebung, aber auch das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung ein. Ein besonderes Augenmerk hat die DSGVO bei der Minimierung der Speicherfrist gelegt, diese ist explizit im Erwägungsgrund Nr. 39 Satz 8 nochmals erwähnt
Richtigkeit
Es sind vom Verantwortlichen alle vertretbaren Schritte zu unternehmen, unrichtige oder unzutreffende personenbezogenen Daten zu korrigieren oder zu löschen. Es sollte daher stets vom Verantwortlichen geprüft und bewertet werden, inwieweit er vertretbar eine Berichtigung oder Löschung umsetzen kann.
Speicherbegrenzung
Der Verantwortliche hat auf Grund dieses Abschnittes die personenbezogenen Daten in einer Form zu speichern und identifizierbar zu halten, wie es für die Zweckerfüllung erforderlich ist. Mit Hintergrund auf die mögliche Zweckänderung, kann durch diese auch eine längere Speicherdauer unter Umständen erwirkt werden.
Integrität und Vertraulichkeit
Dieser Absatz verpflichtet den Verantwortlichen auf die Einhaltung von Informationssicherheit durch technische und organisatorische Maßnahmen – sogenannte TOMs. Unbeabsichtigter Verlust lässt sich in der Regel nur mit Sicherungskopien von Datenbeständen erreichen, die wiederum scheinbar gegen die Grundsätze der Speicherdauer und der Zweckbindung verstoßen. Nach herrschender Meinung ist allerdings eine durch Buchstabe f) geforderte Datensicherheit wiederum ein legitimer Zweck.