Bei personenbezogenen Daten handelt es sich um Daten, die einem besonderen Schutz unterliegen. Sollten diese nämlich in die falschen Hände gelangen, kann daraus ein großer Schaden für die betroffene Person entstehen – von Rufschädigung über finanzielle Schäden bis hin zum Identitätsdiebstahl. Aus diesem Grund haben die Mitgliedsstaaten der EU in der DSGVO sechs Grundsätze festgelegt, die für die Verarbeitung personenbezogener Daten gelten. Diese sind stets von Unternehmen und deren Mitarbeitern zu beachten und einzuhalten.

Verbot mit Erlaubnisvorbehalt

An dieser Stelle möchten wir daran erinnern, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist. Nur wenn eine Erlaubnis vorliegt, darf von dieser Regel abgewichen werden. Die Erlaubnis kann zum Beispiel per Gesetz oder durch Einwilligung der betroffenen Person erteilt werden. Offizielle Erlaubnistatbestände, unter denen personenbezogene Daten verarbeitet werden dürfen, sind:

• Einwilligung der betroffenen Person.
• Erfüllung eines Vertrages, wie zum Beispiel des Arbeitsvertrages. Auch die Vertragsanbahnung ist hier schon inbegriffen.
• Erfüllung rechtlicher Pflichten.
• Lebenswichtige Interessen.
• Öffentliche Interessen.
• Berechtigtes Interesse des Verantwortlichen oder eines Dritten.

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Dieser erste Grundsatz besagt, dass personenbezogene Daten in einer Art und Weise verarbeitet werden müssen, die für die betroffene Person nachvollziehbar ist. Über die Datenverarbeitung ist auf Anfrage betroffener Personen auch Auskunft zu erteilen.

2. Zweckbindung

Für Unternehmen und deren Mitarbeiter gilt, dass personenbezogene Daten nur für eindeutige und festgelegte Zwecke erhoben und verarbeitet werden dürfen. Eine pauschale Datenerhebung ist damit ebenso ausgeschlossen wie eine Verarbeitung, die unvereinbar mit den ursprünglichen Zwecken ist. Ändert sich also der Zweck der Datenverarbeitung, muss ggf. eine neue Einwilligung erfolgen.

3. Datenminimierung

So viel wie nötig, so wenig wie möglich. Gemäß DSGVO dürfen Unternehmen nur die Daten erheben, speichern und verarbeiten, die sie auch tatsächlich für den Verarbeitungszweck benötigen. Für die Anmeldung zu einem Newsletter wird beispielsweise nicht die Postanschrift des Abonnenten benötigt. Folglich darf diese auch nicht erhoben werden.

4. Richtigkeit

Die erhobenen und gespeicherten Daten müssen sachlich korrekt und auf dem neusten Stand sein. Unrichtige Daten wie zum Beispiel falsch geschriebene Nachnamen oder alte Adressen müssen nach Kenntnisnahme des Fehlers bzw. nach Bekanntgabe der neuen Adresse korrigiert beziehungsweise gelöscht werden.

5. Speicherbegrenzung

Die Speicherung der personenbezogenen Daten ist auf den Zeitraum begrenzt, in dem der Zweck besteht. Entfällt der Verarbeitungszweck, wie zum Beispiel die Kündigung einer Mitgliedschaft, müssen diese Daten gelöscht werden. Zudem müssen Unternehmen angemessene Löschfristen definieren. Ausnahmen bilden gesetzliche Aufbewahrungsfristen oder im öffentlichen Interesse liegende Zwecke wie Archivierung oder Führung von Statistiken.

6. Integrität und Vertraulichkeit

Die Sicherheit der personenbezogenen Daten muss durch entsprechende technische und organisatorische Maßnahmen (TOM) gewährleistet werden. Diese umfassen den Schutz vor dem Zugriff von unbefugten Dritten und vor Verlust beziehungsweise Beschädigung.

Rechenschaftspflicht

Unternehmen und Personen, die für die Erhebung, Speicherung, Verarbeitung und Löschung personenbezogener Daten verantwortlich sind, müssen die Einhaltung dieser sechs Grundsätze zur Datenverarbeitung in adäquater Weise nachweisen können.

Benötigen Sie in Ihrem Unternehmen Unterstützung im Bereich Datenschutz? Wir entwickeln mit Ihnen gemeinsam geeignete Prozesse, die unter anderem die Grundsätze für die Verarbeitung personenbezogener Daten gemäß DSGVO berücksichtigen und dokumentieren diese. Nehmen Sie gerne Kontakt zu uns auf!